BRICKSTORM Backdoor

சீனாவுடன் இணைந்ததாக சந்தேகிக்கப்படும் ஒரு சைபர் உளவு குழு, அமெரிக்க சட்ட சேவைகள், மென்பொருள்-ஒரு-சேவை (SaaS), வணிக செயல்முறை அவுட்சோர்சிங் (BPO) மற்றும் தொழில்நுட்பத் துறைகளில் உள்ள நிறுவனங்களை குறிவைத்து வருகிறது. நோக்கம்: BRICKSTORM எனப்படும் மிகவும் திறமையான பின்கதவை வழங்குதல்.

UNC5221 மற்றும் நெருங்கிய தொடர்புடைய அச்சுறுத்தல் குழுக்களால் ஏற்படும் இந்த ஊடுருவல்கள், பாதிக்கப்பட்ட நெட்வொர்க்குகளுக்கான தொடர்ச்சியான அணுகலை ஒரு வருடத்திற்கும் மேலாக பராமரிப்பதை நோக்கமாகக் கொண்டுள்ளன, பெரும்பாலும் SaaS வழங்குநர்களை இலக்கு வைத்து கீழ்நிலை வாடிக்கையாளர் சூழல்களையோ அல்லது அவர்கள் சார்பாக ஹோஸ்ட் செய்யப்பட்ட தரவையோ அடைய இலக்கு வைக்கின்றன. சட்டம் மற்றும் தொழில்நுட்பத் துறைகளில், இந்தத் தாக்குதல்கள் அறிவுசார் சொத்துரிமை, தேசிய பாதுகாப்பு தொடர்பான உளவுத்துறை மற்றும் சர்வதேச வர்த்தகம் தொடர்பான தகவல்களின் திருட்டால் தூண்டப்பட்டதாகத் தெரிகிறது.

பிரிக்ஸ்டார்ம்: மறைந்திருக்கும் பின்கதவு

கடந்த ஆண்டு முதன்முதலில் கவனிக்கப்பட்ட, BRICKSTORM, Ivanti Connect Secure zero-day vulnerabilities (CVE-2023-46805 மற்றும் CVE-2024-21887) சுரண்டலுடன் தொடர்புடையது. இது குறைந்தது நவம்பர் 2022 முதல் ஐரோப்பிய விண்டோஸ் சூழல்களிலும் செயலில் உள்ளது.

Go மொழியில் எழுதப்பட்ட BRICKSTORM, பின்வரும் திறன்களை உள்ளடக்கியது:

• ஒரு வலை சேவையகமாக செயல்படுங்கள்.
• கோப்பு முறைமைகள் மற்றும் கோப்பகங்களை கையாளவும்.
• கோப்புகளைப் பதிவேற்றவும்/பதிவிறக்கவும் மற்றும் ஷெல் கட்டளைகளை இயக்கவும்.
• SOCKS ப்ராக்ஸியாகச் செயல்படுங்கள்.
• WebSockets வழியாக கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பு கொள்ளுங்கள்.

இந்த தீம்பொருள் கண்டறிதலைத் தவிர்க்க வடிவமைக்கப்பட்டுள்ளது, குறிப்பாக பாரம்பரிய எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில் (EDR) கவரேஜ் இல்லாத சாதனங்களில். இதன் திருட்டுத்தனமான கட்டமைப்பு தாக்குபவர்கள் சராசரியாக 393 நாட்கள் கண்டறியப்படாமல் இருக்க உதவுகிறது.

திருட்டுத்தனம் மற்றும் விடாமுயற்சிக்கான மேம்பட்ட நுட்பங்கள்

அச்சுறுத்தல் நடிகர்கள் பக்கவாட்டு இயக்கம் மற்றும் நிலைத்தன்மைக்கு மிகவும் அதிநவீன நுட்பங்களைப் பயன்படுத்துகின்றனர்:

சுரண்டல் மற்றும் ஆரம்ப அணுகல் : குறைந்தபட்சம் ஒரு தாக்குதலாவது Ivanti Connect Secure edge சாதன பாதிப்புகளைப் பயன்படுத்தி BRICKSTORM ஐப் பயன்படுத்தியது. Linux மற்றும் BSD-அடிப்படையிலான சாதனங்களில் உள்ள பிற பயன்பாடுகளைக் கண்டறிவது கடினமாக உள்ளது, ஏனெனில் நடிகர்கள் செயல்பாட்டுத் தடயங்களை கவனமாக அழித்துவிடுகிறார்கள்.

சுறுசுறுப்பான தீம்பொருள் மேம்பாடு : சில BRICKSTORM மாதிரிகளில் C2 சேவையகங்களுடனான தொடர்பை மாதங்களுக்கு ஒத்திவைக்கும் "தாமத" டைமர் உள்ளது. ஒரு சந்தர்ப்பத்தில், சம்பவ பதில் தொடங்கிய பிறகு, தீம்பொருள் VMware vCenter சேவையகத்தில் பயன்படுத்தப்பட்டது, இது செயல்பாட்டு சுறுசுறுப்பை நிரூபிக்கிறது.

BRICKSTEAL வழியாக சிறப்புரிமை விரிவாக்கம் : vCenter நற்சான்றிதழ்களைப் பிடிக்க Apache Tomcat இல் உள்ள ஒரு தீங்கிழைக்கும் ஜாவா சர்வ்லெட் வடிப்பான் பயன்படுத்தப்பட்டது. பின்னர் தாக்குபவர்கள் டொமைன் கன்ட்ரோலர்கள், SSO அடையாள வழங்குநர்கள் மற்றும் ரகசிய வால்ட்கள் போன்ற முக்கியமான அமைப்புகளுக்கான Windows Server VMகளை குளோன் செய்தனர்.

நினைவகத்தில் மாற்றங்கள் : தனிப்பயன் டிராப்பரைப் பயன்படுத்துவதன் மூலம், தாக்குபவர்கள் உள்ளமைவு மாற்றங்களை முழுவதுமாக நினைவகத்தில் பயன்படுத்தினர், பயன்பாடு மறுதொடக்கம் மற்றும் கண்டறிதலைத் தவிர்த்தனர்.

நிலைத்தன்மை முறைகள் : init.d, rc.local அல்லது systemd கோப்புகளில் செய்யப்படும் மாற்றங்கள், SLAYSTYLE (aka BEEFLUSH) போன்ற JSP வலை ஷெல்களைப் பயன்படுத்துவதோடு, BRICKSTORM சாதனத்தை மறுதொடக்கம் செய்யும்போது தானாகவே மறுதொடக்கம் செய்து தன்னிச்சையான OS கட்டளைகளை இயக்குவதை உறுதி செய்கிறது.

மூலோபாய நோக்கங்கள் மற்றும் தாக்கம்

இந்த பிரச்சாரத்தின் முதன்மை குறிக்கோள், சீனாவின் பொருளாதார மற்றும் உளவு ஆர்வங்களுடன் இணைந்த உணர்திறன் பகுதிகளில் ஈடுபட்டுள்ள டெவலப்பர்கள், சிஸ்டம் நிர்வாகிகள் மற்றும் பணியாளர்களின் மின்னஞ்சல்கள் மற்றும் கணக்குகளில் கவனம் செலுத்தி, இலக்கு வைக்கப்பட்ட தரவு வெளியேற்றம் ஆகும். SOCKS ப்ராக்ஸி திறனைப் பயன்படுத்தி, தாக்குபவர்கள் ஆர்வமுள்ள பயன்பாடுகளில் சுரங்கப்பாதை அமைத்து, SaaS வாடிக்கையாளர்களுக்குச் செல்லலாம் அல்லது எதிர்கால பிரச்சாரங்களுக்கான பூஜ்ஜிய-நாள் பாதிப்புகளை அடையாளம் காணலாம்.

BRICKSTORM பிரச்சாரம் மிகவும் அதிநவீன அச்சுறுத்தலைக் குறிக்கிறது, இது மேம்பட்ட நிறுவன பாதுகாப்புகளைத் தவிர்த்து, அதிக மதிப்புள்ள இலக்குகளில் கவனம் செலுத்தும் திறன் கொண்டது.