BRICKSTORM задња врата
Осумњичена група за сајбер шпијунажу повезана са Кином циљала је компаније у америчким правним услугама, софтверу као услузи (SaaS), аутсорсингу пословних процеса (BPO) и технолошком сектору. Циљ: испорука веома способног бекдора познатог као BRICKSTORM.
Приписани UNC5221 и уско повезаним кластерима претњи, ови упади имају за циљ да одрже стални приступ мрежама жртава дуже од годину дана, често циљајући SaaS провајдере како би дошли до низводних корисничких окружења или података који се хостују у њихово име. У правном и технолошком сектору, напади изгледа да су мотивисани крађом интелектуалне својине, обавештајних података везаних за националну безбедност и информација релевантних за међународну трговину.
Преглед садржаја
BRICKSTORM: Задња врата која остају скривена
Први пут примећен прошле године, BRICKSTORM је био повезан са експлоатацијом зеро-дај рањивости Ivanti Connect Secure-а (CVE-2023-46805 и CVE-2024-21887). Такође је активан у европским Windows окружењима најмање од новембра 2022. године.
BRICKSTORM, написан у програмском језику Go, укључује могућности за:
- Делујте као веб сервер.
- Манипулисање фајл системима и директоријумима.
- Отпремите/преузмите датотеке и извршите команде шкољке.
- Ради као SOCKS прокси.
- Комуницирајте са командно-контролним (C2) сервером путем WebSockets-а.
Злонамерни софтвер је дизајниран да избегне откривање, посебно на уређајима без традиционалне покривености за детекцију и одговор на крајње тачке (EDR). Његова прикривена архитектура омогућава нападачима да остану неоткривени у просеку 393 дана.
Напредне технике за прикривеност и истрајност
Претећи актери користе веома софистициране технике за бочно кретање и упорност:
Експлоатација и почетни приступ : Најмање један напад је искористио рањивости Ivanti Connect Secure уређаја на рубу мреже за имплементацију BRICKSTORM-а. Остале имплементације на уређајима заснованим на Linux-у и BSD-у је и даље тешко пратити због пажљивог брисања трагова активности од стране актера.
Агилни развој малвера : Неки BRICKSTORM примери укључују тајмер „кашњења“ који одлаже комуникацију са C2 серверима месецима. У једном случају, малвер је распоређен на VMware vCenter серверу након што је почео одговор на инцидент, демонстрирајући оперативну агилност.
Ескалација привилегија путем BRICKSTEAL-а : Злонамерни Java Servlet филтер на Apache Tomcat-у је коришћен за хватање vCenter акредитива. Нападачи су затим клонирали Windows Server виртуелне машине за критичне системе као што су контролери домена, SSO добављачи идентитета и тајни трезори.
Модификације у меморији : Коришћењем прилагођеног дропера, нападачи су примењивали промене конфигурације у потпуности у меморији, избегавајући поновно покретање и откривање апликација.
Методе перзистентности : Модификације init.d, rc.local или systemd датотека, заједно са распоређивањем JSP веб шкољки као што је SLAYSTYLE (познат и као BEEFLUSH), осигуравају да се BRICKSTORM аутоматски поново покреће након поновног покретања уређаја и извршава произвољне ОС команде.
Стратешки циљеви и утицај
Примарни циљ ове кампање је циљана крађа података, фокусирајући се на имејлове и налоге програмера, систем администратора и особља које је укључено у осетљиве области које су у складу са економским и шпијунским интересима Кине. Користећи SOCKS прокси могућност, нападачи могу да се пробије у апликације од интереса и да се усмере ка SaaS клијентима низводних компанија или да идентификују zero-day рањивости за будуће кампање.
Кампања BRICKSTORM представља високо софистицирану претњу, способну да заобиђе напредне одбрамбене системе предузећа и фокусира се на циљеве високе вредности.
