BRICKSTORM Achterdeur
Een vermoedelijke cyberspionagegroep met Chinese banden richt zich op bedrijven in de Amerikaanse juridische dienstverlening, software-as-a-service (SaaS), Business Process Outsourcing (BPO) en technologiesector. Het doel: een uiterst capabele backdoor ontwikkelen die bekendstaat als BRICKSTORM.
Deze inbraken, die worden toegeschreven aan UNC5221 en nauw verwante dreigingsclusters, zijn erop gericht om meer dan een jaar lang toegang te behouden tot de netwerken van slachtoffers. Vaak zijn ze gericht op SaaS-providers om downstream klantomgevingen of namens hen gehoste data te bereiken. In de juridische en technologische sector lijken de aanvallen gemotiveerd te zijn door de diefstal van intellectueel eigendom, inlichtingen met betrekking tot de nationale veiligheid en informatie die relevant is voor de internationale handel.
Inhoudsopgave
BRICKSTORM: De achterdeur die verborgen blijft
BRICKSTORM werd vorig jaar voor het eerst opgemerkt en werd in verband gebracht met de exploitatie van zero-day kwetsbaarheden in Ivanti Connect Secure (CVE-2023-46805 en CVE-2024-21887). Het is sinds ten minste november 2022 ook actief in Europese Windows-omgevingen.
BRICKSTORM, geschreven in Go, biedt de volgende mogelijkheden:
- Fungeren als webserver.
- Bestandssystemen en mappen manipuleren.
- Bestanden uploaden/downloaden en shell-opdrachten uitvoeren.
- Functioneert als een SOCKS-proxy.
- Communiceer met een Command-and-Control (C2)-server via WebSockets.
De malware is ontworpen om detectie te omzeilen, met name op apparaten zonder traditionele EDR-dekking (Endpoint Detection and Response). Dankzij de stealth-architectuur blijven aanvallers gemiddeld 393 dagen onopgemerkt.
Geavanceerde technieken voor stealth en doorzettingsvermogen
De bedreigende actoren maken gebruik van zeer geavanceerde technieken voor laterale verplaatsing en persistentie:
Exploitatie en initiële toegang : Ten minste één aanval maakte gebruik van kwetsbaarheden in Ivanti Connect Secure edge-apparaten om BRICKSTORM te implementeren. Andere implementaties op Linux- en BSD-apparaten blijven moeilijk te traceren vanwege de zorgvuldige verwijdering van activiteitssporen door de hackers.
Agile malware-ontwikkeling : Sommige BRICKSTORM-voorbeelden bevatten een 'vertragingstimer' die de communicatie met C2-servers maandenlang uitstelt. In één geval werd de malware op een VMware vCenter-server geïnstalleerd nadat de respons op incidenten was begonnen, wat operationele flexibiliteit aantoonde.
Privilege-escalatie via BRICKSTEAL : een kwaadaardig Java Servlet-filter op Apache Tomcat werd gebruikt om vCenter-inloggegevens te stelen. De aanvallers kloonden vervolgens Windows Server-VM's voor kritieke systemen zoals domeincontrollers, SSO-identiteitsproviders en geheime kluizen.
Wijzigingen in het geheugen : door een aangepaste dropper te gebruiken, konden aanvallers configuratiewijzigingen volledig in het geheugen doorvoeren, waardoor het opnieuw opstarten van de applicatie en detectie werd omzeild.
Persistentiemethoden : wijzigingen in de bestanden init.d, rc.local of systemd, samen met de implementatie van JSP-webshells zoals SLAYSTYLE (ook bekend als BEEFLUSH), zorgen ervoor dat BRICKSTORM automatisch opnieuw opstart bij het opnieuw opstarten van het apparaat en willekeurige OS-opdrachten uitvoert.
Strategische doelstellingen en impact
Het primaire doel van deze campagne is gerichte data-exfiltratie, gericht op e-mails en accounts van ontwikkelaars, systeembeheerders en personeel dat betrokken is bij gevoelige gebieden die aansluiten bij de economische en spionagebelangen van China. Met behulp van de SOCKS-proxyfunctie kunnen aanvallers zich toegang verschaffen tot interessante applicaties en zich richten op downstream SaaS-klanten, of zero-day-kwetsbaarheden identificeren voor toekomstige campagnes.
De BRICKSTORM-campagne vormt een zeer geavanceerde bedreiging die geavanceerde beveiligingssystemen van ondernemingen kan omzeilen en zich kan richten op waardevolle doelen.
