BRICKSTORM Tylne drzwi
Podejrzewana o współpracę z Chinami grupa cybernetyczna atakuje firmy z sektora usług prawnych, oprogramowania jako usługi (SaaS), outsourcingu procesów biznesowych (BPO) i technologii w USA. Celem jest dostarczenie wysoce wydajnego backdoora znanego jako BRICKSTORM.
Przypisywane atakowi UNC5221 i blisko powiązanym klastrom zagrożeń, ataki te mają na celu utrzymanie stałego dostępu do sieci ofiar przez ponad rok, często atakując dostawców oprogramowania jako usługi (SaaS), aby dotrzeć do środowisk klientów końcowych lub danych hostowanych w ich imieniu. W sektorze prawnym i technologicznym ataki wydają się być motywowane kradzieżą własności intelektualnej, danych wywiadowczych związanych z bezpieczeństwem narodowym oraz informacji istotnych dla handlu międzynarodowego.
Spis treści
BRICKSTORM: Tylne wejście, które pozostaje ukryte
Po raz pierwszy zaobserwowany w zeszłym roku, BRICKSTORM został powiązany z wykorzystaniem luk zero-day w zabezpieczeniach Ivanti Connect Secure (CVE-2023-46805 i CVE-2024-21887). Jest on również aktywny w europejskich środowiskach Windows co najmniej od listopada 2022 roku.
BRICKSTORM, napisany w języku Go, umożliwia:
- Działa jako serwer WWW.
- Manipulowanie systemami plików i katalogami.
- Przesyłaj/ściągnij pliki i wykonuj polecenia powłoki.
- Działa jako serwer proxy SOCKS.
- Komunikacja z serwerem Command-and-Control (C2) za pomocą protokołu WebSockets.
Szkodliwe oprogramowanie zostało zaprojektowane tak, aby unikać wykrycia, zwłaszcza na urządzeniach bez tradycyjnego systemu wykrywania i reagowania na ataki w punktach końcowych (EDR). Jego ukryta architektura pozwala atakującym pozostać niewykrytymi średnio przez 393 dni.
Zaawansowane techniki skradania się i wytrwałości
Aktorzy zagrożenia stosują niezwykle zaawansowane techniki przemieszczania się w celu uzyskania większej trwałości i uporczywości:
Eksploatacja i wstępny dostęp : Co najmniej jeden atak wykorzystał luki w zabezpieczeniach urządzenia brzegowego Ivanti Connect Secure do wdrożenia BRICKSTORM. Inne wdrożenia na urządzeniach opartych na systemach Linux i BSD pozostają trudne do wyśledzenia ze względu na staranne usuwanie śladów aktywności przez atakujących.
Zwinne tworzenie złośliwego oprogramowania : Niektóre przykłady BRICKSTORM zawierają licznik „opóźnienia”, który opóźnia komunikację z serwerami C2 o miesiące. W jednym przypadku złośliwe oprogramowanie zostało wdrożone na serwerze VMware vCenter po rozpoczęciu reagowania na incydent, co świadczy o zwinności operacyjnej.
Eskalacja uprawnień za pośrednictwem BRICKSTEAL : Złośliwy filtr serwletów Java na serwerze Apache Tomcat został użyty do przechwycenia danych uwierzytelniających vCenter. Następnie atakujący sklonowali maszyny wirtualne z systemem Windows Server dla systemów krytycznych, takich jak kontrolery domeny, dostawcy tożsamości SSO i sejfy tajne.
Modyfikacje w pamięci : Używając niestandardowego droppera, atakujący wprowadzają zmiany konfiguracji wyłącznie w pamięci, unikając ponownego uruchamiania aplikacji i wykrycia.
Metody trwałości : modyfikacje plików init.d, rc.local lub systemd, a także wdrożenie powłok internetowych JSP, takich jak SLAYSTYLE (znany również jako BEEFLUSH), zapewniają automatyczne ponowne uruchomienie BRICKSTORM po ponownym uruchomieniu urządzenia i wykonanie dowolnych poleceń systemu operacyjnego.
Cele strategiczne i wpływ
Głównym celem tej kampanii jest ukierunkowana eksfiltracja danych, koncentrująca się na e-mailach i kontach programistów, administratorów systemów i personelu zaangażowanego w wrażliwe obszary związane z chińskimi interesami gospodarczymi i szpiegostwem. Wykorzystując możliwości proxy SOCKS, atakujący mogą tunelować się do interesujących ich aplikacji i przekierować do dalszych klientów SaaS lub identyfikować luki typu zero-day na potrzeby przyszłych kampanii.
Kampania BRICKSTORM stanowi niezwykle wyrafinowane zagrożenie, potrafiące ominąć zaawansowane zabezpieczenia przedsiębiorstw i skoncentrować się na ważnych celach.
