BRICKSTORM Backdoor

Un grup de spionaj cibernetic suspectat de a fi aliniat cu China a vizat companii din sectoarele americane de servicii juridice, software-as-a-service (SaaS), externalizare a proceselor de afaceri (BPO) și tehnologie. Obiectivul: crearea unui backdoor extrem de capabil, cunoscut sub numele de BRICKSTORM.

Atribuite UNC5221 și clusterelor de amenințări strâns legate, aceste intruziuni vizează menținerea accesului persistent la rețelele victimelor timp de peste un an, vizând adesea furnizorii SaaS pentru a ajunge la mediile clienților din aval sau la datele găzduite în numele acestora. În sectoarele juridic și tehnologic, atacurile par motivate de furtul de proprietate intelectuală, informații legate de securitatea națională și informații relevante pentru comerțul internațional.

BRICKSTORM: Ușa din spate care rămâne ascunsă

Observată pentru prima dată anul trecut, BRICKSTORM a fost asociată cu exploatarea vulnerabilităților zero-day Ivanti Connect Secure (CVE-2023-46805 și CVE-2024-21887). De asemenea, este activă în mediile Windows europene cel puțin din noiembrie 2022.

BRICKSTORM, scris în Go, include capabilități pentru:

• Acționează ca un server web.
• Manipularea sistemelor de fișiere și a directoarelor.
• Încărcați/descărcați fișiere și executați comenzi shell.
• Funcționează ca un proxy SOCKS.
• Comunicați cu un server de comandă și control (C2) prin intermediul WebSockets.

Malware-ul este conceput să evite detectarea, în special pe dispozitive fără acoperire tradițională de detectare și răspuns la endpoint-uri (EDR). Arhitectura sa discretă permite atacatorilor să rămână nedetectați timp de o medie de 393 de zile.

Tehnici avansate pentru ascundere și persistență

Actorii amenințători folosesc tehnici extrem de sofisticate pentru mișcare laterală și persistență:

Exploatare și acces inițial : Cel puțin un atac a valorificat vulnerabilitățile dispozitivelor Ivanti Connect Secure de la margine pentru a implementa BRICKSTORM. Alte implementări pe dispozitive bazate pe Linux și BSD rămân dificil de urmărit din cauza ștergerii atente a urmelor de activitate de către actorii implicați.

Dezvoltare agilă de programe malware : Unele exemple BRICKSTORM includ un temporizator de „întârziere” care amână comunicarea cu serverele C2 timp de luni de zile. Într-un caz, malware-ul a fost implementat pe un server VMware vCenter după ce a început răspunsul la incidente, demonstrând agilitate operațională.

Escaladarea privilegiilor prin BRICKSTEAL : Un filtru Java Servlet malițios pe Apache Tomcat a fost utilizat pentru a captura acreditările vCenter. Atacatorii au clonat apoi mașini virtuale Windows Server pentru sisteme critice, cum ar fi controlerele de domeniu, furnizorii de identitate SSO și seifurile secrete.

Modificări în memorie : Prin utilizarea unui dropper personalizat, atacatorii au aplicat modificările de configurație în întregime în memorie, evitând repornirea aplicațiilor și detectarea acestora.

Metode de persistență : Modificările aduse fișierelor init.d, rc.local sau systemd, împreună cu implementarea de shell-uri web JSP precum SLAYSTYLE (cunoscut și sub numele de BEEFLUSH), asigură că BRICKSTORM repornește automat la repornirea dispozitivului și execută comenzi arbitrare ale sistemului de operare.

Obiective strategice și impact

Scopul principal al acestei campanii este exfiltrarea de date țintită, concentrându-se pe e-mailurile și conturile dezvoltatorilor, administratorilor de sistem și personalului implicat în domenii sensibile, aliniate cu interesele economice și de spionaj ale Chinei. Folosind capacitatea proxy SOCKS, atacatorii pot pătrunde în aplicațiile de interes și se pot orienta către clienții SaaS din aval sau pot identifica vulnerabilități zero-day pentru campanii viitoare.

Campania BRICKSTORM reprezintă o amenințare extrem de sofisticată, capabilă să ocolească apărările avansate ale întreprinderilor și să se concentreze asupra țintelor de mare valoare.