BRICKSTORM Backdoor

చైనాతో జతకట్టిన సైబర్ గూఢచర్య సంస్థగా అనుమానిస్తున్న ఒక సంస్థ అమెరికాలోని లీగల్ సర్వీసెస్, సాఫ్ట్‌వేర్-యాజ్-ఎ-సర్వీస్ (SaaS), బిజినెస్ ప్రాసెస్ అవుట్‌సోర్సింగ్ (BPO) మరియు టెక్నాలజీ రంగాలలోని కంపెనీలను లక్ష్యంగా చేసుకుంటోంది. లక్ష్యం: BRICKSTORM అని పిలువబడే అత్యంత సమర్థవంతమైన బ్యాక్‌డోర్‌ను అందించడం.

UNC5221 మరియు దగ్గరి సంబంధం ఉన్న ముప్పు సమూహాల కారణంగా, ఈ చొరబాట్లు బాధితుల నెట్‌వర్క్‌లకు ఒక సంవత్సరం పాటు నిరంతర ప్రాప్యతను కొనసాగించడం లక్ష్యంగా పెట్టుకున్నాయి, తరచుగా SaaS ప్రొవైడర్‌లను లక్ష్యంగా చేసుకుని దిగువ కస్టమర్ వాతావరణాలను లేదా వారి తరపున హోస్ట్ చేయబడిన డేటాను చేరుకుంటాయి. చట్టపరమైన మరియు సాంకేతిక రంగాలలో, దాడులు మేధో సంపత్తి దొంగతనం, జాతీయ భద్రతకు సంబంధించిన నిఘా మరియు అంతర్జాతీయ వాణిజ్యానికి సంబంధించిన సమాచారం ద్వారా ప్రేరేపించబడినట్లు కనిపిస్తాయి.

బ్రిక్‌స్టార్మ్: దాగి ఉన్న బ్యాక్‌డోర్

గత సంవత్సరం మొదటిసారి గమనించినప్పుడు, BRICKSTORM ఇవాంటి కనెక్ట్ సెక్యూర్ జీరో-డే దుర్బలత్వాల (CVE-2023-46805 మరియు CVE-2024-21887) దోపిడీకి అనుసంధానించబడింది. ఇది కనీసం నవంబర్ 2022 నుండి యూరోపియన్ విండోస్ పరిసరాలలో కూడా చురుకుగా ఉంది.

గోలో వ్రాయబడిన BRICKSTORM, వీటి సామర్థ్యాలను కలిగి ఉంటుంది:

• వెబ్ సర్వర్ లాగా వ్యవహరించండి.
• ఫైల్ సిస్టమ్‌లు మరియు డైరెక్టరీలను మార్చండి.
• ఫైళ్లను అప్‌లోడ్/డౌన్‌లోడ్ చేయండి మరియు షెల్ ఆదేశాలను అమలు చేయండి.
• SOCKS ప్రాక్సీగా పనిచేయండి.
• వెబ్‌సాకెట్స్ ద్వారా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేట్ చేయండి.

ఈ మాల్వేర్ గుర్తింపును తప్పించుకోవడానికి రూపొందించబడింది, ముఖ్యంగా సాంప్రదాయ ఎండ్‌పాయింట్ డిటెక్షన్ అండ్ రెస్పాన్స్ (EDR) కవరేజ్ లేని ఉపకరణాలలో. దీని రహస్య నిర్మాణం దాడి చేసేవారిని సగటున 393 రోజుల పాటు గుర్తించకుండా ఉండటానికి వీలు కల్పిస్తుంది.

రహస్యం మరియు పట్టుదల కోసం అధునాతన సాంకేతికతలు

ముప్పు కలిగించే వ్యక్తులు పార్శ్వ కదలిక మరియు నిలకడ కోసం అత్యంత అధునాతన పద్ధతులను ఉపయోగిస్తారు:

దోపిడీ మరియు ప్రారంభ యాక్సెస్ : కనీసం ఒక దాడి BRICKSTORM ని అమలు చేయడానికి Ivanti Connect సెక్యూర్ ఎడ్జ్ పరికర దుర్బలత్వాలను ఉపయోగించుకుంది. నటులు కార్యాచరణ జాడలను జాగ్రత్తగా తొలగించడం వలన Linux మరియు BSD-ఆధారిత ఉపకరణాలపై ఇతర విస్తరణలను గుర్తించడం కష్టంగా ఉంది.

చురుకైన మాల్వేర్ అభివృద్ధి : కొన్ని BRICKSTORM నమూనాలలో C2 సర్వర్‌లతో కమ్యూనికేషన్‌ను నెలల తరబడి వాయిదా వేసే "ఆలస్యం" టైమర్ ఉంటుంది. ఒక సందర్భంలో, సంఘటన ప్రతిస్పందన ప్రారంభమైన తర్వాత మాల్వేర్ VMware vCenter సర్వర్‌లో మోహరించబడింది, ఇది కార్యాచరణ చురుకుదనాన్ని ప్రదర్శిస్తుంది.

BRICKSTEAL ద్వారా ప్రివిలేజ్ ఎస్కలేషన్ : vCenter ఆధారాలను సంగ్రహించడానికి Apache Tomcatలోని హానికరమైన జావా సర్వ్లెట్ ఫిల్టర్ ఉపయోగించబడింది. దాడి చేసేవారు డొమైన్ కంట్రోలర్లు, SSO గుర్తింపు ప్రొవైడర్లు మరియు రహస్య వాల్ట్‌ల వంటి క్లిష్టమైన వ్యవస్థల కోసం Windows సర్వర్ VMలను క్లోన్ చేశారు.

ఇన్-మెమరీ సవరణలు : కస్టమ్ డ్రాపర్‌ని ఉపయోగించడం ద్వారా, దాడి చేసేవారు కాన్ఫిగరేషన్ మార్పులను పూర్తిగా మెమరీలోనే వర్తింపజేసారు, అప్లికేషన్ పునఃప్రారంభాలు మరియు గుర్తింపును నివారించారు.

పెర్సిస్టెన్స్ పద్ధతులు : init.d, rc.local, లేదా systemd ఫైళ్లకు మార్పులు, SLAYSTYLE (aka BEEFLUSH) వంటి JSP వెబ్ షెల్‌ల విస్తరణతో పాటు, BRICKSTORM ఉపకరణం రీబూట్ చేయబడినప్పుడు స్వయంచాలకంగా పునఃప్రారంభించబడుతుందని మరియు ఏకపక్ష OS ఆదేశాలను అమలు చేస్తుందని నిర్ధారిస్తుంది.

వ్యూహాత్మక లక్ష్యాలు మరియు ప్రభావం

ఈ ప్రచారం యొక్క ప్రాథమిక లక్ష్యం లక్ష్య డేటా తొలగింపు, డెవలపర్లు, సిస్టమ్ నిర్వాహకులు మరియు చైనా ఆర్థిక మరియు గూఢచర్య ప్రయోజనాలకు అనుగుణంగా సున్నితమైన ప్రాంతాలలో పాల్గొన్న సిబ్బంది యొక్క ఇమెయిల్‌లు మరియు ఖాతాలపై దృష్టి సారించడం. SOCKS ప్రాక్సీ సామర్థ్యాన్ని ఉపయోగించి, దాడి చేసేవారు ఆసక్తి ఉన్న అప్లికేషన్‌లలోకి సొరంగం చేయవచ్చు మరియు దిగువ SaaS కస్టమర్‌లకు పివోట్ చేయవచ్చు లేదా భవిష్యత్ ప్రచారాల కోసం జీరో-డే దుర్బలత్వాలను గుర్తించవచ్చు.

BRICKSTORM ప్రచారం అత్యంత అధునాతన ముప్పును సూచిస్తుంది, అధునాతన సంస్థ రక్షణలను దాటవేయగలదు మరియు అధిక-విలువ లక్ష్యాలపై దృష్టి పెట్టగలదు.