Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Zadné vrátka BRICKSTORM

Zadné vrátka BRICKSTORM

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT), Zadné vrátka
Preložiť do:

Podozrivá skupina zaoberajúca sa kybernetickou špionážou, ktorá je napojená na Čínu, sa zameriava na spoločnosti v amerických sektoroch právnych služieb, softvéru ako služby (SaaS), outsourcingu obchodných procesov (BPO) a technológií. Cieľom je vytvoriť vysoko výkonný zadný vrátnik známy ako BRICKSTORM.

Tieto útoky, pripisované hrozbe UNC5221 a úzko súvisiacim klastrom hrozieb, sa zameriavajú na udržiavanie trvalého prístupu k sieťam obetí viac ako rok, pričom sa často zameriavajú na poskytovateľov SaaS s cieľom dosiahnuť prostredia zákazníkov alebo údaje hostované v ich mene. V právnom a technologickom sektore sa zdá, že útoky sú motivované krádežou duševného vlastníctva, spravodajských informácií týkajúcich sa národnej bezpečnosti a informácií relevantných pre medzinárodný obchod.

BRICKSTORM: Zadné vrátka, ktoré zostávajú skryté

Hrôza BRICKSTORM, ktorá bola prvýkrát pozorovaná minulý rok, bola spojená so zneužitím zraniteľností typu zero-day v službe Ivanti Connect Secure (CVE-2023-46805 a CVE-2024-21887). V európskych prostrediach systému Windows je aktívna aj minimálne od novembra 2022.

BRICKSTORM, napísaný v jazyku Go, obsahuje funkcie na:

  • Správať sa ako webový server.
  • Manipulovať so súborovými systémami a adresármi.
  • Nahrávať/sťahovať súbory a vykonávať príkazy shellu.
  • Fungovať ako SOCKS proxy.
  • Komunikujte so serverom Command-and-Control (C2) prostredníctvom WebSockets.

Škodlivý softvér je navrhnutý tak, aby sa vyhol detekcii, najmä na zariadeniach bez tradičného pokrytia detekciou a reakciou na koncové body (EDR). Jeho nenápadná architektúra umožňuje útočníkom zostať nedetekovanými v priemere 393 dní.

Pokročilé techniky pre nenápadnosť a vytrvalosť

Aktéri hrozby používajú vysoko sofistikované techniky pre laterálny pohyb a vytrvalosť:

Zneužitie a počiatočný prístup : Najmenej jeden útok využil zraniteľnosti zabezpečených okrajových zariadení Ivanti Connect na nasadenie BRICKSTORM. Ďalšie nasadenia na zariadeniach založených na systémoch Linux a BSD je stále ťažké vysledovať, pretože aktéri starostlivo vymazávajú stopy aktivít.

Agilný vývoj malvéru : Niektoré vzorky BRICKSTORM obsahujú časovač „oneskorenia“, ktorý odkladá komunikáciu so servermi C2 o niekoľko mesiacov. V jednom prípade bol malvér nasadený na server VMware vCenter po začatí reakcie na incident, čo preukázalo operačnú agilitu.

Eskalácia privilégií prostredníctvom BRICKSTEAL : Na zachytenie prihlasovacích údajov vCenter bol použitý škodlivý filter Java Servlet na serveri Apache Tomcat. Útočníci potom naklonovali virtuálne počítače Windows Server pre kritické systémy, ako sú radiče domén, poskytovatelia identít SSO a tajné trezory.

Úpravy v pamäti : Použitím vlastného nástroja na zachytávanie údajov útočníci aplikovali zmeny konfigurácie výlučne v pamäti, čím sa vyhli reštartovaniu a detekcii aplikácií.

Metódy perzistencie : Úpravy súborov init.d, rc.local alebo systemd spolu s nasadením webových shellov JSP, ako napríklad SLAYSTYLE (známy aj ako BEEFLUSH), zabezpečujú, že BRICKSTORM sa automaticky reštartuje po reštarte zariadenia a vykoná ľubovoľné príkazy operačného systému.

Strategické ciele a vplyv

Primárnym cieľom tejto kampane je cielená exfiltrácia údajov so zameraním na e-maily a účty vývojárov, systémových administrátorov a personálu zapojeného do citlivých oblastí, ktoré sú v súlade s ekonomickými a špionážnymi záujmami Číny. Pomocou proxy servera SOCKS sa útočníci môžu preniknúť do aplikácií, ktoré ich zaujímajú, a presmerovať ich na zákazníkov SaaS alebo identifikovať zraniteľnosti typu zero-day pre budúce kampane.

Kampaň BRICKSTORM predstavuje vysoko sofistikovanú hrozbu, schopnú obísť pokročilú podnikovú obranu a zamerať sa na ciele s vysokou hodnotou.

Trendy

Najviac videné

Načítava...