BRICKSTORM Backdoor

Um grupo de espionagem cibernética supostamente alinhado à China tem como alvo empresas dos setores de serviços jurídicos, software como serviço (SaaS), terceirização de processos de negócios (BPO) e tecnologia nos EUA. O objetivo: criar um backdoor altamente capaz, conhecido como BRICKSTORM.

Atribuídas à UNC5221 e a grupos de ameaças intimamente relacionados, essas intrusões visam manter o acesso persistente às redes das vítimas por mais de um ano, frequentemente visando provedores de SaaS para atingir ambientes de clientes downstream ou dados hospedados em seu nome. Nos setores jurídico e de tecnologia, os ataques parecem motivados pelo roubo de propriedade intelectual, inteligência relacionada à segurança nacional e informações relevantes para o comércio internacional.

BRICKSTORM: A porta dos fundos que permanece escondida

Observado pela primeira vez no ano passado, o BRICKSTORM foi vinculado à exploração das vulnerabilidades de dia zero do Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887). Ele também está ativo em ambientes Windows europeus desde pelo menos novembro de 2022.

BRICKSTORM, escrito em Go, inclui recursos para:

• Atuar como um servidor web.
• Manipular sistemas de arquivos e diretórios.
• Carregar/baixar arquivos e executar comandos shell.
• Operar como um proxy SOCKS.
• Comunique-se com um servidor de comando e controle (C2) via WebSockets.

O malware foi projetado para escapar da detecção, especialmente em dispositivos sem a cobertura tradicional de detecção e resposta de endpoint (EDR). Sua arquitetura furtiva permite que os invasores permaneçam indetectáveis por uma média de 393 dias.

Técnicas avançadas para furtividade e persistência

Os agentes de ameaças empregam técnicas altamente sofisticadas para movimento lateral e persistência:

Exploração e acesso inicial : Pelo menos um ataque aproveitou vulnerabilidades em dispositivos de ponta do Ivanti Connect Secure para implantar o BRICKSTORM. Outras implantações em dispositivos baseados em Linux e BSD continuam difíceis de rastrear devido à eliminação cuidadosa de rastros de atividade pelos agentes.

Desenvolvimento ágil de malware : Alguns exemplos do BRICKSTORM incluem um temporizador de "atraso" que adia a comunicação com servidores C2 por meses. Em um caso, o malware foi implantado em um servidor VMware vCenter após o início da resposta a incidentes, demonstrando agilidade operacional.

Escalonamento de privilégios via BRICKSTEAL : um filtro malicioso de servlet Java no Apache Tomcat foi usado para capturar credenciais do vCenter. Os invasores então clonaram VMs do Windows Server para sistemas críticos, como controladores de domínio, provedores de identidade SSO e cofres secretos.

Modificações na memória : ao usar um dropper personalizado, os invasores aplicaram alterações de configuração inteiramente na memória, evitando reinicializações e detecções de aplicativos.

Métodos de persistência : modificações nos arquivos init.d, rc.local ou systemd, juntamente com a implantação de shells web JSP como SLAYSTYLE (também conhecido como BEEFLUSH), garantem que o BRICKSTORM reinicie automaticamente na reinicialização do dispositivo e execute comandos arbitrários do sistema operacional.

Objetivos estratégicos e impacto

O objetivo principal desta campanha é a exfiltração direcionada de dados, com foco em e-mails e contas de desenvolvedores, administradores de sistemas e pessoal envolvido em áreas sensíveis alinhadas aos interesses econômicos e de espionagem da China. Usando o recurso de proxy SOCKS, os invasores podem acessar aplicativos de interesse e migrar para clientes SaaS downstream ou identificar vulnerabilidades de dia zero para campanhas futuras.

A campanha BRICKSTORM representa uma ameaça altamente sofisticada, capaz de contornar defesas corporativas avançadas e se concentrar em alvos de alto valor.