BRICKSTORM แบ็คดอร์

กลุ่มจารกรรมไซเบอร์ที่ต้องสงสัยว่ามีแนวคิดสนับสนุนจีน ได้พุ่งเป้าโจมตีบริษัทต่างๆ ในสหรัฐอเมริกา ทั้งบริษัทที่ให้บริการด้านกฎหมาย ซอฟต์แวร์แบบบริการ (SaaS) บริการจัดการกระบวนการทางธุรกิจ (BPO) และบริษัทด้านเทคโนโลยี เป้าหมายคือการสร้างแบ็คดอร์ประสิทธิภาพสูงที่รู้จักกันในชื่อ BRICKSTORM

การโจมตีเหล่านี้มีสาเหตุมาจาก UNC5221 และกลุ่มภัยคุกคามที่เกี่ยวข้องอย่างใกล้ชิด โดยมีเป้าหมายเพื่อรักษาการเข้าถึงเครือข่ายของเหยื่ออย่างต่อเนื่องนานกว่าหนึ่งปี โดยมักมุ่งเป้าไปที่ผู้ให้บริการ SaaS เพื่อเข้าถึงสภาพแวดล้อมของลูกค้าปลายทางหรือข้อมูลที่โฮสต์ในนามของพวกเขา ในภาคกฎหมายและเทคโนโลยี การโจมตีเหล่านี้ดูเหมือนจะมีแรงจูงใจจากการขโมยทรัพย์สินทางปัญญา ข่าวกรองที่เกี่ยวข้องกับความมั่นคงแห่งชาติ และข้อมูลที่เกี่ยวข้องกับการค้าระหว่างประเทศ

BRICKSTORM: ประตูหลังที่ยังคงซ่อนอยู่

BRICKSTORM ซึ่งตรวจพบครั้งแรกเมื่อปีที่แล้ว มีความเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ Zero-day ของ Ivanti Connect Secure (CVE-2023-46805 และ CVE-2024-21887) และยังคงใช้งานในสภาพแวดล้อม Windows ของยุโรปมาตั้งแต่เดือนพฤศจิกายน 2565 เป็นอย่างน้อย

BRICKSTORM ที่เขียนด้วยภาษา Go มีความสามารถในการ:

• ทำหน้าที่เป็นเว็บเซิร์ฟเวอร์
• จัดการระบบไฟล์และไดเร็กทอรี
• อัพโหลด/ดาวน์โหลดไฟล์และดำเนินการคำสั่งเชลล์
• ดำเนินการเป็นตัวแทน SOCKS
• สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ผ่านทาง WebSockets

มัลแวร์นี้ถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ โดยเฉพาะอย่างยิ่งบนอุปกรณ์ที่ไม่มีระบบตรวจจับและตอบสนองปลายทาง (EDR) แบบดั้งเดิม สถาปัตยกรรมที่ซ่อนเร้นของมัลแวร์ช่วยให้ผู้โจมตีไม่ถูกตรวจจับได้โดยเฉลี่ย 393 วัน

เทคนิคขั้นสูงสำหรับการลอบเร้นและการคงอยู่

ผู้ก่อภัยคุกคามใช้เทคนิคที่ซับซ้อนมากสำหรับการเคลื่อนที่ด้านข้างและการคงอยู่:

การใช้ประโยชน์และการเข้าถึงเบื้องต้น : การโจมตีอย่างน้อยหนึ่งครั้งใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ edge ของ Ivanti Connect Secure เพื่อติดตั้ง BRICKSTORM การติดตั้งอื่นๆ บนอุปกรณ์ที่ใช้ Linux และ BSD ยังคงติดตามได้ยาก เนื่องจากผู้กระทำได้ลบร่องรอยกิจกรรมอย่างระมัดระวัง

การพัฒนามัลแวร์แบบ Agile : ตัวอย่าง BRICKSTORM บางตัวอย่างมีตัวจับเวลา “หน่วงเวลา” ที่จะเลื่อนการสื่อสารกับเซิร์ฟเวอร์ C2 ออกไปหลายเดือน ในกรณีหนึ่ง มัลแวร์ถูกนำไปใช้งานบนเซิร์ฟเวอร์ VMware vCenter หลังจากเริ่มตอบสนองต่อเหตุการณ์ ซึ่งแสดงให้เห็นถึงความคล่องตัวในการปฏิบัติงาน

การยกระดับสิทธิ์ผ่าน BRICKSTEAL : ตัวกรอง Java Servlet ที่เป็นอันตรายบน Apache Tomcat ถูกใช้เพื่อดักจับข้อมูลประจำตัว vCenter จากนั้นผู้โจมตีจะโคลนเครื่องเสมือนของ Windows Server สำหรับระบบสำคัญๆ เช่น ตัวควบคุมโดเมน ผู้ให้บริการข้อมูลประจำตัว SSO และห้องนิรภัยลับ

การปรับเปลี่ยนภายในหน่วยความจำ : โดยการใช้ดรอปเปอร์แบบกำหนดเอง ผู้โจมตีสามารถนำการเปลี่ยนแปลงการกำหนดค่าไปใช้ในหน่วยความจำทั้งหมด ซึ่งช่วยหลีกเลี่ยงการรีสตาร์ทแอปพลิเคชันและการตรวจจับ

วิธีการคงอยู่ : การปรับเปลี่ยนไฟล์ init.d, rc.local หรือ systemd ร่วมกับการปรับใช้เชลล์เว็บ JSP เช่น SLAYSTYLE (หรือเรียกอีกอย่างว่า BEEFLUSH) ทำให้มั่นใจได้ว่า BRICKSTORM จะรีสตาร์ทโดยอัตโนมัติเมื่ออุปกรณ์รีบูตและดำเนินการคำสั่ง OS ตามอำเภอใจ

วัตถุประสงค์เชิงกลยุทธ์และผลกระทบ

เป้าหมายหลักของแคมเปญนี้คือการขโมยข้อมูลแบบเจาะจง โดยมุ่งเน้นไปที่อีเมลและบัญชีของนักพัฒนา ผู้ดูแลระบบ และบุคลากรที่เกี่ยวข้องกับพื้นที่อ่อนไหวซึ่งสอดคล้องกับผลประโยชน์ทางเศรษฐกิจและการจารกรรมของจีน การใช้ความสามารถของพร็อกซี SOCKS ช่วยให้ผู้โจมตีสามารถเจาะเข้าไปในแอปพลิเคชันที่สนใจและเปลี่ยนเส้นทางไปยังลูกค้า SaaS ปลายทาง หรือระบุช่องโหว่แบบ Zero-day สำหรับแคมเปญในอนาคต

แคมเปญ BRICKSTORM ถือเป็นภัยคุกคามที่ซับซ้อนอย่างยิ่ง ซึ่งสามารถหลีกเลี่ยงการป้องกันขององค์กรขั้นสูง และมุ่งเน้นไปที่เป้าหมายที่มีมูลค่าสูง