Rabattoffert för flera licenser
Hotdatabas Skadlig programvara BRICKSTORM Bakdörr

BRICKSTORM Bakdörr

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

En misstänkt Kina-allierad cyberspionagegrupp har riktat in sig på företag inom amerikanska sektorer som juridiska tjänster, programvara som en tjänst (SaaS), outsourcing av affärsprocesser (BPO) och teknik. Målet: att leverera en mycket kapabel bakdörr som kallas BRICKSTORM.

Dessa intrång, som tillskrivs UNC5221 och närbesläktade hotkluster, syftar till att upprätthålla ihållande åtkomst till offrens nätverk i över ett år, ofta inriktade på SaaS-leverantörer för att nå kundmiljöer nedströms eller data som lagras för deras räkning. Inom den juridiska och teknikmässiga sektorn verkar attackerna motiveras av stöld av immateriella rättigheter, underrättelser relaterade till nationell säkerhet och information relevant för internationell handel.

BRICKSTORM: Bakdörren som förblir dold

BRICKSTORM observerades först förra året och kopplades till utnyttjandet av Ivanti Connect Secure nolldagssårbarheter (CVE-2023-46805 och CVE-2024-21887). Det har också varit aktivt i europeiska Windows-miljöer sedan åtminstone november 2022.

BRICKSTORM, skrivet i Go, inkluderar funktioner för att:

  • Fungera som en webbserver.
  • Manipulera filsystem och kataloger.
  • Ladda upp/ladda ner filer och kör shell-kommandon.
  • Fungera som en SOCKS-proxy.
  • Kommunicera med en kommando-och-kontrollserver (C2) via WebSockets.

Skadlig programvara är utformad för att undvika upptäckt, särskilt på apparater utan traditionell täckning för endpoint detection and response (EDR). Dess dolda arkitektur gör att angriparna kan förbli oupptäckta i genomsnitt 393 dagar.

Avancerade tekniker för smygande och uthållighet

Hotaktörerna använder mycket sofistikerade tekniker för lateral rörelse och uthållighet:

Utnyttjande och initial åtkomst : Minst en attack utnyttjade sårbarheter i Ivanti Connect Secure-kantenheter för att driftsätta BRICKSTORM. Andra driftsättningar på Linux- och BSD-baserade enheter är fortfarande svåra att spåra på grund av aktörernas noggranna radering av aktivitetsspår.

Agil utveckling av skadlig programvara : Vissa BRICKSTORM-exempel inkluderar en "fördröjningstimer" som skjuter upp kommunikationen med C2-servrar i månader. I ett fall distribuerades skadlig programvara på en VMware vCenter-server efter att incidentresponsen hade påbörjats, vilket demonstrerade operativ flexibilitet.

Privilegieeskalering via BRICKSTEAL : Ett skadligt Java Servlet-filter på Apache Tomcat användes för att samla in vCenter-autentiseringsuppgifter. Angriparna klonade sedan virtuella Windows Server-maskiner för kritiska system som domänkontrollanter, SSO-identitetsleverantörer och hemliga valv.

Modifieringar i minnet : Genom att använda en anpassad dropper tillämpade angripare konfigurationsändringar helt i minnet, vilket undvek omstart och upptäckt av applikationer.

Persistensmetoder : Modifieringar av init.d-, rc.local- eller systemd-filer, tillsammans med distribution av JSP-webbshell som SLAYSTYLE (aka BEEFLUSH), säkerställer att BRICKSTORM automatiskt startar om vid omstart av enheten och kör godtyckliga operativsystemkommandon.

Strategiska mål och påverkan

Det primära målet med denna kampanj är riktad dataexfiltrering, med fokus på e-postmeddelanden och konton för utvecklare, systemadministratörer och personal involverad i känsliga områden som är kopplade till Kinas ekonomiska och spionageintressen. Med hjälp av SOCKS proxyfunktion kan angripare tunnelera in i applikationer av intresse och rikta sig till SaaS-kunder nedströms eller identifiera nolldagssårbarheter för framtida kampanjer.

BRICKSTORM-kampanjen representerar ett mycket sofistikerat hot, kapabelt att kringgå avancerade företagsförsvar och fokusera på värdefulla mål.

Trendigt

Mest sedda

Läser in...