BRICKSTORM Backdoor

Një grup i dyshuar për spiunazh kibernetik i lidhur me Kinën ka synuar kompani në sektorët e shërbimeve ligjore, softuerit si shërbim (SaaS), outsourcing-ut të proceseve të biznesit (BPO) dhe teknologjisë në SHBA. Objektivi: të ofrojë një derë të pasme shumë të aftë të njohur si BRICKSTORM.

Të atribuara UNC5221 dhe grupeve të kërcënimeve të lidhura ngushtë, këto ndërhyrje synojnë të ruajnë akses të vazhdueshëm në rrjetet e viktimave për më shumë se një vit, shpesh duke synuar ofruesit e SaaS për të arritur mjediset e klientëve të rrjedhës së poshtme ose të dhënat e hostuara në emër të tyre. Në sektorët ligjorë dhe të teknologjisë, sulmet duket se motivohen nga vjedhja e pronës intelektuale, inteligjencës që lidhet me sigurinë kombëtare dhe informacionit që lidhet me tregtinë ndërkombëtare.

BRICKSTORM: Dera e pasme që mbetet e fshehur

I vërejtur për herë të parë vitin e kaluar, BRICKSTORM u lidh me shfrytëzimin e dobësive zero-day të Ivanti Connect Secure (CVE-2023-46805 dhe CVE-2024-21887). Ai ka qenë gjithashtu aktiv në mjediset evropiane të Windows që të paktën që nga nëntori 2022.

BRICKSTORM, i shkruar në Go, përfshin aftësi për të:

• Veproni si një server web.
• Manipuloni sistemet e skedarëve dhe drejtoritë.
• Ngarkoni/shkarkoni skedarë dhe ekzekutoni komandat e shell-it.
• Funksionon si një proxy SOCKS.
• Komuniko me një server Command-and-Control (C2) nëpërmjet WebSockets.

Malware është projektuar për të shmangur zbulimin, veçanërisht në pajisjet pa mbulim tradicional të zbulimit dhe përgjigjes së pikave fundore (EDR). Arkitektura e tij e fshehtë u mundëson sulmuesve të mbeten të pazbuluar për një mesatare prej 393 ditësh.

Teknika të Avancuara për Fshehtësi dhe Këmbëngulje

Aktorët kërcënues përdorin teknika shumë të sofistikuara për lëvizje anësore dhe këmbëngulje:

Shfrytëzimi dhe qasja fillestare : Të paktën një sulm shfrytëzoi dobësitë e pajisjeve Ivanti Connect Secure në skaj për të vendosur BRICKSTORM. Vendosjet e tjera në pajisjet Linux dhe ato të bazuara në BSD mbeten të vështira për t'u gjurmuar për shkak të fshirjes së kujdesshme të gjurmëve të aktivitetit nga aktorët.

Zhvillimi i programeve keqdashëse agile : Disa mostra të BRICKSTORM përfshijnë një kohëmatës "vonesë" që shtyn komunikimin me serverat C2 për muaj të tërë. Në një rast, programi keqdashës u vendos në një server VMware vCenter pasi kishte filluar reagimi ndaj incidenteve, duke demonstruar shkathtësi operacionale.

Përshkallëzimi i privilegjeve nëpërmjet BRICKSTEAL : Një filtër keqdashës Java Servlet në Apache Tomcat u përdor për të kapur kredencialet e vCenter. Sulmuesit më pas klonuan VM-të e Windows Server për sisteme kritike si Kontrolluesit e Domain-it, ofruesit e identitetit SSO dhe kasafortat sekrete.

Modifikimet në memorie : Duke përdorur një dropper të personalizuar, sulmuesit aplikuan ndryshimet e konfigurimit tërësisht në memorie, duke shmangur rinisjet dhe zbulimin e aplikacioneve.

Metodat e këmbënguljes : Modifikimet në skedarët init.d, rc.local ose systemd, së bashku me vendosjen e shell-eve web JSP si SLAYSTYLE (i njohur edhe si BEEFLUSH), sigurojnë që BRICKSTORM të riniset automatikisht pas rinisjes së pajisjes dhe të ekzekutojë komanda arbitrare të sistemit operativ.

Objektivat dhe Ndikimi Strategjik

Qëllimi kryesor i kësaj fushate është nxjerrja e të dhënave të synuara, duke u përqendruar në emailet dhe llogaritë e zhvilluesve, administratorëve të sistemit dhe personelit të përfshirë në fusha të ndjeshme të lidhura me interesat ekonomike dhe të spiunazhit të Kinës. Duke përdorur aftësinë e ndërmjetësit SOCKS, sulmuesit mund të tunelojnë në aplikacionet me interes dhe të përqendrohen te klientët SaaS të rrjedhës së poshtme ose të identifikojnë dobësitë zero-ditore për fushatat e ardhshme.

Fushata BRICKSTORM përfaqëson një kërcënim shumë të sofistikuar, të aftë të anashkalojë mbrojtjet e përparuara të ndërmarrjeve dhe të përqendrohet në objektiva me vlerë të lartë.