BRICKSTORM ਬੈਕਡੋਰ

ਇੱਕ ਸ਼ੱਕੀ ਚੀਨ-ਸਹਿਯੋਗੀ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ ਅਮਰੀਕੀ ਕਾਨੂੰਨੀ ਸੇਵਾਵਾਂ, ਸਾਫਟਵੇਅਰ-ਐਜ਼-ਏ-ਸਰਵਿਸ (SaaS), ਬਿਜ਼ਨਸ ਪ੍ਰੋਸੈਸ ਆਊਟਸੋਰਸਿੰਗ (BPO), ਅਤੇ ਤਕਨਾਲੋਜੀ ਖੇਤਰਾਂ ਵਿੱਚ ਕੰਪਨੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਉਦੇਸ਼: BRICKSTORM ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਇੱਕ ਬਹੁਤ ਹੀ ਸਮਰੱਥ ਬੈਕਡੋਰ ਪ੍ਰਦਾਨ ਕਰਨਾ।

UNC5221 ਅਤੇ ਨਜ਼ਦੀਕੀ ਤੌਰ 'ਤੇ ਸਬੰਧਤ ਧਮਕੀ ਸਮੂਹਾਂ ਨਾਲ ਸੰਬੰਧਿਤ, ਇਹਨਾਂ ਘੁਸਪੈਠਾਂ ਦਾ ਉਦੇਸ਼ ਇੱਕ ਸਾਲ ਤੋਂ ਵੱਧ ਸਮੇਂ ਲਈ ਪੀੜਤ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਨਿਰੰਤਰ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣਾ ਹੈ, ਅਕਸਰ SaaS ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਡਾਊਨਸਟ੍ਰੀਮ ਗਾਹਕ ਵਾਤਾਵਰਣਾਂ ਜਾਂ ਉਹਨਾਂ ਵੱਲੋਂ ਹੋਸਟ ਕੀਤੇ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ। ਕਾਨੂੰਨੀ ਅਤੇ ਤਕਨੀਕੀ ਖੇਤਰਾਂ ਵਿੱਚ, ਹਮਲੇ ਬੌਧਿਕ ਸੰਪਤੀ ਦੀ ਚੋਰੀ, ਰਾਸ਼ਟਰੀ ਸੁਰੱਖਿਆ ਨਾਲ ਸਬੰਧਤ ਖੁਫੀਆ ਜਾਣਕਾਰੀ, ਅਤੇ ਅੰਤਰਰਾਸ਼ਟਰੀ ਵਪਾਰ ਨਾਲ ਸੰਬੰਧਿਤ ਜਾਣਕਾਰੀ ਤੋਂ ਪ੍ਰੇਰਿਤ ਜਾਪਦੇ ਹਨ।

ਬ੍ਰਿਕਸਟਾਰਮ: ਉਹ ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ ਜੋ ਲੁਕਿਆ ਰਹਿੰਦਾ ਹੈ

ਪਿਛਲੇ ਸਾਲ ਪਹਿਲੀ ਵਾਰ ਦੇਖਿਆ ਗਿਆ, BRICKSTORM ਨੂੰ Ivanti Connect Secure ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ (CVE-2023-46805 ਅਤੇ CVE-2024-21887) ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਸੀ। ਇਹ ਘੱਟੋ-ਘੱਟ ਨਵੰਬਰ 2022 ਤੋਂ ਯੂਰਪੀਅਨ ਵਿੰਡੋਜ਼ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਵੀ ਸਰਗਰਮ ਹੈ।

BRICKSTORM, ਜੋ ਕਿ Go ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ, ਵਿੱਚ ਇਹ ਸਮਰੱਥਾਵਾਂ ਸ਼ਾਮਲ ਹਨ:

• ਇੱਕ ਵੈੱਬ ਸਰਵਰ ਵਜੋਂ ਕੰਮ ਕਰੋ।
• ਫਾਈਲ ਸਿਸਟਮ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰੋ।
• ਫਾਈਲਾਂ ਅਪਲੋਡ/ਡਾਊਨਲੋਡ ਕਰੋ ਅਤੇ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਚਲਾਓ।
• ਇੱਕ SOCKS ਪ੍ਰੌਕਸੀ ਵਜੋਂ ਕੰਮ ਕਰੋ।
• WebSockets ਰਾਹੀਂ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰੋ।

ਇਹ ਮਾਲਵੇਅਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਖਾਸ ਕਰਕੇ ਰਵਾਇਤੀ ਐਂਡਪੁਆਇੰਟ ਡਿਟੈਕਸ਼ਨ ਐਂਡ ਰਿਸਪਾਂਸ (EDR) ਕਵਰੇਜ ਤੋਂ ਬਿਨਾਂ ਉਪਕਰਣਾਂ 'ਤੇ। ਇਸਦੀ ਗੁਪਤ ਆਰਕੀਟੈਕਚਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਔਸਤਨ 393 ਦਿਨਾਂ ਤੱਕ ਅਣਪਛਾਤੇ ਰਹਿਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।

ਚੋਰੀ ਅਤੇ ਦ੍ਰਿੜਤਾ ਲਈ ਉੱਨਤ ਤਕਨੀਕਾਂ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕ ਪਾਸੇ ਦੀ ਗਤੀ ਅਤੇ ਸਥਿਰਤਾ ਲਈ ਬਹੁਤ ਹੀ ਵਧੀਆ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ:

ਸ਼ੋਸ਼ਣ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ : ਘੱਟੋ-ਘੱਟ ਇੱਕ ਹਮਲੇ ਨੇ BRICKSTORM ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ Ivanti Connect Secure edge ਡਿਵਾਈਸ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਲਾਭ ਉਠਾਇਆ। Linux ਅਤੇ BSD-ਅਧਾਰਿਤ ਉਪਕਰਣਾਂ 'ਤੇ ਹੋਰ ਤੈਨਾਤੀਆਂ ਨੂੰ ਸਰਗਰਮੀ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਧਿਆਨ ਨਾਲ ਮਿਟਾਉਣ ਕਾਰਨ ਟਰੇਸ ਕਰਨਾ ਮੁਸ਼ਕਲ ਰਹਿੰਦਾ ਹੈ।

ਐਜਾਇਲ ਮਾਲਵੇਅਰ ਵਿਕਾਸ : ਕੁਝ BRICKSTORM ਨਮੂਨਿਆਂ ਵਿੱਚ ਇੱਕ "ਦੇਰੀ" ਟਾਈਮਰ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜੋ C2 ਸਰਵਰਾਂ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਮਹੀਨਿਆਂ ਲਈ ਮੁਲਤਵੀ ਕਰ ਦਿੰਦਾ ਹੈ। ਇੱਕ ਉਦਾਹਰਣ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਨੂੰ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋਣ ਤੋਂ ਬਾਅਦ ਇੱਕ VMware vCenter ਸਰਵਰ 'ਤੇ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜੋ ਕਿ ਕਾਰਜਸ਼ੀਲ ਚੁਸਤੀ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ।

BRICKSTEAL ਰਾਹੀਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣਾ : vCenter ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਹਾਸਲ ਕਰਨ ਲਈ Apache Tomcat 'ਤੇ ਇੱਕ ਖਤਰਨਾਕ Java Servlet ਫਿਲਟਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਗਈ ਸੀ। ਫਿਰ ਹਮਲਾਵਰਾਂ ਨੇ ਡੋਮੇਨ ਕੰਟਰੋਲਰ, SSO ਪਛਾਣ ਪ੍ਰਦਾਤਾ, ਅਤੇ ਗੁਪਤ ਵਾਲਟ ਵਰਗੇ ਮਹੱਤਵਪੂਰਨ ਸਿਸਟਮਾਂ ਲਈ Windows Server VMs ਦਾ ਕਲੋਨ ਕੀਤਾ।

ਇਨ-ਮੈਮੋਰੀ ਸੋਧਾਂ : ਇੱਕ ਕਸਟਮ ਡਰਾਪਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਹਮਲਾਵਰਾਂ ਨੇ ਐਪਲੀਕੇਸ਼ਨ ਰੀਸਟਾਰਟ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹੋਏ, ਮੈਮੋਰੀ ਵਿੱਚ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੰਰਚਨਾ ਬਦਲਾਅ ਲਾਗੂ ਕੀਤੇ।

ਸਥਿਰਤਾ ਦੇ ਤਰੀਕੇ : init.d, rc.local, ਜਾਂ systemd ਫਾਈਲਾਂ ਵਿੱਚ ਸੋਧਾਂ, SLAYSTYLE (ਉਰਫ਼ BEEFLUSH) ਵਰਗੇ JSP ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਦੀ ਤੈਨਾਤੀ ਦੇ ਨਾਲ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀਆਂ ਹਨ ਕਿ BRICKSTORM ਉਪਕਰਣ ਰੀਬੂਟ ਹੋਣ 'ਤੇ ਆਪਣੇ ਆਪ ਮੁੜ ਚਾਲੂ ਹੁੰਦਾ ਹੈ ਅਤੇ ਮਨਮਾਨੇ OS ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।

ਰਣਨੀਤਕ ਉਦੇਸ਼ ਅਤੇ ਪ੍ਰਭਾਵ

ਇਸ ਮੁਹਿੰਮ ਦਾ ਮੁੱਖ ਟੀਚਾ ਨਿਸ਼ਾਨਾਬੱਧ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਹੈ, ਜੋ ਕਿ ਡਿਵੈਲਪਰਾਂ, ਸਿਸਟਮ ਪ੍ਰਸ਼ਾਸਕਾਂ ਅਤੇ ਚੀਨ ਦੇ ਆਰਥਿਕ ਅਤੇ ਜਾਸੂਸੀ ਹਿੱਤਾਂ ਨਾਲ ਜੁੜੇ ਸੰਵੇਦਨਸ਼ੀਲ ਖੇਤਰਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਮਚਾਰੀਆਂ ਦੇ ਈਮੇਲਾਂ ਅਤੇ ਖਾਤਿਆਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ। SOCKS ਪ੍ਰੌਕਸੀ ਸਮਰੱਥਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਹਮਲਾਵਰ ਦਿਲਚਸਪੀ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਸੁਰੰਗ ਬਣਾ ਸਕਦੇ ਹਨ ਅਤੇ ਡਾਊਨਸਟ੍ਰੀਮ SaaS ਗਾਹਕਾਂ ਵੱਲ ਮੋੜ ਸਕਦੇ ਹਨ ਜਾਂ ਭਵਿੱਖ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਲਈ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪਛਾਣ ਕਰ ਸਕਦੇ ਹਨ।

ਬ੍ਰਿਕਸਟਾਰਮ ਮੁਹਿੰਮ ਇੱਕ ਬਹੁਤ ਹੀ ਸੂਝਵਾਨ ਖ਼ਤਰੇ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜੋ ਉੱਨਤ ਉੱਦਮ ਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।