Zadnja vrata BRICKSTORM

Osumljena skupina za kibernetsko vohunjenje, povezana s Kitajsko, je ciljala na podjetja v ameriških sektorjih pravnih storitev, programske opreme kot storitve (SaaS), zunanjega izvajanja poslovnih procesov (BPO) in tehnološkega sektorja. Cilj: vzpostaviti zelo zmogljiva zadnja vrata, znana kot BRICKSTORM.

Ti vdori, ki jih pripisujejo UNC5221 in tesno povezanim skupinam groženj, si prizadevajo ohraniti trajen dostop do omrežij žrtev več kot eno leto, pogosto pa ciljajo na ponudnike SaaS, da bi dosegli okolja strank ali podatke, ki se gostijo v njihovem imenu. V pravnem in tehnološkem sektorju se zdi, da so napadi motivirani s krajo intelektualne lastnine, obveščevalnih podatkov, povezanih z nacionalno varnostjo, in informacij, pomembnih za mednarodno trgovino.

BRICKSTORM: Zadnja vrata, ki ostanejo skrita

BRICKSTORM, ki so ga prvič opazili lani, je bil povezan z izkoriščanjem ranljivosti ničelnega dne v Ivanti Connect Secure (CVE-2023-46805 in CVE-2024-21887). Vsaj od novembra 2022 je aktiven tudi v evropskih okoljih Windows.

BRICKSTORM, napisan v jeziku Go, vključuje naslednje zmožnosti:

• Delujte kot spletni strežnik.
• Upravljanje datotečnih sistemov in imenikov.
• Nalaganje/prenos datotek in izvajanje ukazov lupine.
• Delujte kot SOCKS proxy.
• Komunicirajte s strežnikom za upravljanje in nadzor (C2) prek spletnih vtičnic (WebSockets).

Zlonamerna programska oprema je zasnovana tako, da se izogne odkrivanju, zlasti na napravah brez tradicionalnega zaznavanja in odzivanja na končne točke (EDR). Zaradi svoje prikrite arhitekture napadalci ostanejo neodkriti v povprečju 393 dni.

Napredne tehnike za prikritost in vztrajnost

Grožnje uporabljajo zelo sofisticirane tehnike za lateralno premikanje in vztrajanje:

Izkoriščanje in začetni dostop : Vsaj en napad je izkoristil ranljivosti na robnih napravah Ivanti Connect Secure za namestitev BRICKSTORMA. Druge namestitve na napravah, ki temeljijo na Linuxu in BSD, je še vedno težko izslediti zaradi skrbnega brisanja sledi dejavnosti s strani akterjev.

Agilni razvoj zlonamerne programske opreme : Nekateri vzorci BRICKSTORM vključujejo časovnik »zamude«, ki komunikacijo s strežniki C2 odloži za več mesecev. V enem primeru je bila zlonamerna programska oprema nameščena na strežniku VMware vCenter po začetku odzivanja na incident, kar dokazuje operativno agilnost.

Eskalacija privilegijev prek BRICKSTEAL : Za zajemanje poverilnic vCenter je bil uporabljen zlonamerni filter Java Servlet na Apache Tomcat. Napadalci so nato klonirali navidezne računalnike Windows Server za kritične sisteme, kot so krmilniki domen, ponudniki identitet SSO in tajni trezorji.

Spremembe v pomnilniku : Z uporabo prilagojenega spuščalnika so napadalci spremembe konfiguracije v celoti uveljavili v pomnilniku, s čimer so se izognili ponovnim zagonom in zaznavanju aplikacij.

Metode vztrajnosti : Spremembe datotek init.d, rc.local ali systemd, skupaj z uvedbo spletnih lupin JSP, kot je SLAYSTYLE (znana tudi kot BEEFLUSH), zagotavljajo, da se BRICKSTORM samodejno znova zažene ob ponovnem zagonu naprave in izvede poljubne ukaze operacijskega sistema.

Strateški cilji in vpliv

Primarni cilj te kampanje je ciljno usmerjeno izruvanje podatkov, s poudarkom na e-poštnih sporočilih in računih razvijalcev, sistemskih skrbnikov in osebja, ki sodeluje na občutljivih področjih, povezanih s kitajskimi gospodarskimi in vohunskimi interesi. Z uporabo zmogljivosti proxyja SOCKS se lahko napadalci vdrejo v aplikacije, ki jih to zanima, in se usmerijo k strankam SaaS na nižji stopnji v verigi ali pa odkrijejo ranljivosti ničelnega dne za prihodnje kampanje.

Kampanja BRICKSTORM predstavlja zelo sofisticirano grožnjo, ki je sposobna zaobiti napredne obrambne mehanizme podjetij in se osredotočiti na visokokakovostne cilje.