BRICKSTORM Бэкдор
Подозреваемая в связях с Китаем группа кибершпионажа атакует американские компании, работающие в сфере юридических услуг, программного обеспечения как услуги (SaaS), аутсорсинга бизнес-процессов (BPO) и технологий. Цель: создать мощный бэкдор, известный как BRICKSTORM.
Эти атаки, связанные с UNC5221 и тесно связанными с ним кластерами угроз, направлены на сохранение постоянного доступа к сетям жертвы в течение более года, часто атакуя SaaS-провайдеров для доступа к клиентским средам или данным, размещенным от их имени. В юридическом и технологическом секторах атаки, по-видимому, мотивированы кражей интеллектуальной собственности, разведывательной информации, связанной с национальной безопасностью, и информации, касающейся международной торговли.
Оглавление
BRICKSTORM: лазейка, которая остаётся скрытой
Впервые обнаруженный в прошлом году, BRICKSTORM был связан с эксплуатацией уязвимостей нулевого дня Ivanti Connect Secure (CVE-2023-46805 и CVE-2024-21887). Он также активен в европейских средах Windows как минимум с ноября 2022 года.
BRICKSTORM, написанный на Go, включает в себя возможности:
- Выполнять функции веб-сервера.
- Манипулировать файловыми системами и каталогами.
- Загрузка/выгрузка файлов и выполнение команд оболочки.
- Работает как SOCKS-прокси.
- Общайтесь с сервером управления и контроля (C2) через WebSockets.
Вредоносное ПО разработано таким образом, чтобы его было невозможно обнаружить, особенно на устройствах без традиционной защиты конечных точек обнаружения и реагирования (EDR). Его скрытная архитектура позволяет злоумышленникам оставаться незамеченными в среднем 393 дня.
Продвинутые методы скрытности и настойчивости
Субъекты угрозы используют высокотехнологичные методы для обеспечения горизонтального перемещения и настойчивости:
Эксплуатация и первоначальный доступ : как минимум одна атака использовала уязвимости периферийных устройств Ivanti Connect Secure для развертывания BRICKSTORM. Другие развертывания на устройствах Linux и BSD по-прежнему сложно отследить из-за тщательного удаления следов активности злоумышленниками.
Гибкая разработка вредоносного ПО : некоторые образцы BRICKSTORM включают таймер задержки, который откладывает взаимодействие с командными серверами на месяцы. В одном случае вредоносное ПО было развернуто на сервере VMware vCenter после начала реагирования на инцидент, что продемонстрировало оперативную гибкость.
Повышение привилегий через BRICKSTEAL : вредоносный фильтр Java Servlet на Apache Tomcat использовался для перехвата учётных данных vCenter. Затем злоумышленники клонировали виртуальные машины Windows Server для критически важных систем, таких как контроллеры доменов, поставщики удостоверений SSO и секретные хранилища.
Изменения в памяти : используя пользовательский дроппер, злоумышленники применили изменения конфигурации полностью в памяти, избегая перезапуска приложения и обнаружения.
Методы сохранения : Изменения в файлах init.d, rc.local или systemd, а также развертывание веб-оболочек JSP, таких как SLAYSTYLE (он же BEEFLUSH), гарантируют, что BRICKSTORM автоматически перезапускается при перезагрузке устройства и выполняет произвольные команды ОС.
Стратегические цели и влияние
Основная цель этой кампании — целенаправленная утечка данных, в частности, электронных писем и учётных записей разработчиков, системных администраторов и сотрудников, работающих в чувствительных областях, связанных с экономическими и шпионскими интересами Китая. Используя возможности прокси-сервера SOCKS, злоумышленники могут проникать в интересующие их приложения и перенаправляться к SaaS-клиентам или выявлять уязвимости нулевого дня для будущих кампаний.
Кампания BRICKSTORM представляет собой сложную угрозу, способную обойти передовые средства защиты предприятий и сосредоточиться на особо важных целях.
