BRICKSTORM ब्याकडोर

चीनसँग जोडिएको एक संदिग्ध साइबर जासूसी समूहले अमेरिकी कानुनी सेवाहरू, सफ्टवेयर-एज-ए-सर्भिस (SaaS), बिजनेस प्रोसेस आउटसोर्सिङ (BPO), र प्रविधि क्षेत्रका कम्पनीहरूलाई लक्षित गर्दै आएको छ। उद्देश्य: BRICKSTORM भनेर चिनिने अत्यधिक सक्षम ब्याकडोर प्रदान गर्नु।

UNC5221 र नजिकबाट सम्बन्धित खतरा समूहहरूसँग सम्बन्धित, यी घुसपैठहरूले एक वर्षभन्दा बढी समयसम्म पीडित नेटवर्कहरूमा निरन्तर पहुँच कायम राख्ने लक्ष्य राख्छन्, प्रायः SaaS प्रदायकहरूलाई डाउनस्ट्रीम ग्राहक वातावरण वा तिनीहरूको तर्फबाट होस्ट गरिएको डेटामा पुग्न लक्षित गर्छन्। कानुनी र प्राविधिक क्षेत्रहरूमा, आक्रमणहरू बौद्धिक सम्पत्तिको चोरी, राष्ट्रिय सुरक्षासँग सम्बन्धित गुप्तचर, र अन्तर्राष्ट्रिय व्यापारसँग सम्बन्धित जानकारीबाट प्रेरित देखिन्छन्।

ब्रिक्सस्टर्म: लुकेको पछाडिको ढोका

गत वर्ष पहिलो पटक अवलोकन गरिएको, BRICKSTORM लाई Ivanti Connect Secure शून्य-दिन जोखिमहरू (CVE-2023-46805 र CVE-2024-21887) को शोषणसँग जोडिएको थियो। यो कम्तिमा नोभेम्बर २०२२ देखि युरोपेली विन्डोज वातावरणमा पनि सक्रिय छ।

गो भाषामा लेखिएको BRICKSTORM मा निम्न क्षमताहरू समावेश छन्:

• वेब सर्भरको रूपमा काम गर्नुहोस्।
• फाइल प्रणाली र निर्देशिकाहरू हेरफेर गर्नुहोस्।
• फाइलहरू अपलोड/डाउनलोड गर्नुहोस् र शेल आदेशहरू कार्यान्वयन गर्नुहोस्।
• SOCKS प्रोक्सीको रूपमा सञ्चालन गर्नुहोस्।
• WebSockets मार्फत कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार गर्नुहोस्।

यो मालवेयर पत्ता लगाउनबाट बच्नको लागि डिजाइन गरिएको हो, विशेष गरी परम्परागत एन्डपोइन्ट डिटेक्शन एण्ड रेस्पोन्स (EDR) कभरेज नभएका उपकरणहरूमा। यसको गोप्य वास्तुकलाले आक्रमणकारीहरूलाई औसत ३९३ दिनसम्म पत्ता नलाग्न सक्षम बनाउँछ।

लुकाइ र दृढताको लागि उन्नत प्रविधिहरू

खतरा कारकहरूले पार्श्व चाल र दृढताको लागि अत्यधिक परिष्कृत प्रविधिहरू प्रयोग गर्छन्:

शोषण र प्रारम्भिक पहुँच : कम्तिमा एउटा आक्रमणले BRICKSTORM तैनाथ गर्न Ivanti Connect Secure edge उपकरणको कमजोरीहरूको फाइदा उठायो। Linux र BSD-आधारित उपकरणहरूमा अन्य तैनाथीहरू ट्रेस गर्न गाह्रो छ किनभने अभिनेताहरूले गतिविधि ट्रेसहरू सावधानीपूर्वक मेटाएका छन्।

एजाइल मालवेयर विकास : केही BRICKSTORM नमुनाहरूमा "ढिलाइ" टाइमर समावेश छ जसले C2 सर्भरहरूसँग महिनौंसम्म सञ्चार स्थगित गर्दछ। एउटा उदाहरणमा, घटना प्रतिक्रिया सुरु भएपछि मालवेयर VMware vCenter सर्भरमा तैनाथ गरिएको थियो, जसले सञ्चालन चपलता प्रदर्शन गर्दछ।

BRICKSTEAL मार्फत विशेषाधिकार वृद्धि : vCenter प्रमाणहरू कब्जा गर्न Apache Tomcat मा एक दुर्भावनापूर्ण Java Servlet फिल्टर प्रयोग गरिएको थियो। त्यसपछि आक्रमणकारीहरूले डोमेन नियन्त्रकहरू, SSO पहिचान प्रदायकहरू, र गोप्य भल्टहरू जस्ता महत्वपूर्ण प्रणालीहरूको लागि Windows Server VM हरू क्लोन गरे।

मेमोरी भित्रका परिमार्जनहरू : अनुकूलन ड्रपर प्रयोग गरेर, आक्रमणकारीहरूले मेमोरीमा पूर्ण रूपमा कन्फिगरेसन परिवर्तनहरू लागू गरे, अनुप्रयोग पुन: सुरु र पत्ता लगाउनबाट बच्न।

पर्सिस्टन्स विधिहरू : init.d, rc.local, वा systemd फाइलहरूमा परिमार्जनहरू, SLAYSTYLE (उर्फ BEEFLUSH) जस्ता JSP वेब शेलहरूको तैनातीसँगै, उपकरण रिबुट गर्दा BRICKSTORM स्वचालित रूपमा पुन: सुरु हुन्छ र मनमानी OS आदेशहरू कार्यान्वयन गर्दछ भन्ने कुरा सुनिश्चित गर्दछ।

रणनीतिक उद्देश्य र प्रभाव

यस अभियानको प्राथमिक लक्ष्य लक्षित डेटा एक्सफिल्टरेशन हो, जुन विकासकर्ताहरू, प्रणाली प्रशासकहरू, र चीनको आर्थिक र जासुसी चासोहरूसँग सम्बद्ध संवेदनशील क्षेत्रहरूमा संलग्न कर्मचारीहरूको इमेल र खाताहरूमा केन्द्रित छ। SOCKS प्रोक्सी क्षमता प्रयोग गरेर, आक्रमणकारीहरूले रुचिको अनुप्रयोगहरूमा टनेल गर्न सक्छन् र डाउनस्ट्रीम SaaS ग्राहकहरूमा पिभोट गर्न सक्छन् वा भविष्यका अभियानहरूको लागि शून्य-दिनको जोखिमहरू पहिचान गर्न सक्छन्।

BRICKSTORM अभियानले एक अत्यधिक परिष्कृत खतरालाई प्रतिनिधित्व गर्दछ, जुन उन्नत उद्यम प्रतिरक्षालाई बाइपास गर्न र उच्च-मूल्य लक्ष्यहरूमा ध्यान केन्द्रित गर्न सक्षम छ।