BRICKSTORM Backdoor

Ang isang pinaghihinalaang grupo ng cyber espionage na nakahanay sa China ay nagta-target ng mga kumpanya sa mga serbisyong legal ng US, software-as-a-service (SaaS), Business Process Outsourcing (BPO), at mga sektor ng teknolohiya. Ang layunin: maghatid ng isang may kakayahang backdoor na kilala bilang BRICKSTORM.

Iniuugnay sa UNC5221 at malapit na nauugnay na mga cluster ng pagbabanta, ang mga panghihimasok na ito ay naglalayong mapanatili ang patuloy na pag-access sa mga network ng biktima sa loob ng higit sa isang taon, na kadalasang nagta-target sa mga provider ng SaaS na maabot ang mga downstream na kapaligiran ng customer o data na naka-host sa ngalan nila. Sa legal at tech na sektor, ang mga pag-atake ay lumilitaw na motibasyon ng pagnanakaw ng intelektwal na ari-arian, katalinuhan na nauugnay sa pambansang seguridad, at impormasyong nauugnay sa internasyonal na kalakalan.

BRICKSTORM: Ang Backdoor na Nananatiling Nakatago

Unang naobserbahan noong nakaraang taon, ang BRICKSTORM ay na-link sa pagsasamantala ng Ivanti Connect Secure zero-day vulnerabilities (CVE-2023-46805 at CVE-2024-21887). Naging aktibo rin ito sa mga kapaligiran ng European Windows mula noong Nobyembre 2022 man lang.

Ang BRICKSTORM, na nakasulat sa Go, ay may kasamang mga kakayahan na:

• Kumilos bilang isang web server.
• Manipulate ng mga file system at direktoryo.
• Mag-upload/mag-download ng mga file at magsagawa ng mga shell command.
• Magpapatakbo bilang proxy ng SOCKS.
• Makipag-ugnayan sa isang Command-and-Control (C2) server sa pamamagitan ng WebSockets.

Ang malware ay idinisenyo upang maiwasan ang pagtuklas, lalo na sa mga appliances na walang tradisyunal na endpoint detection and response (EDR) coverage. Ang palihim na arkitektura nito ay nagbibigay-daan sa mga umaatake na manatiling hindi natukoy sa average na 393 araw.

Mga Advanced na Teknik para sa Stealth at Persistence

Gumagamit ang mga aktor ng pagbabanta ng napakahusay na mga diskarte para sa lateral na paggalaw at pagtitiyaga:

Pagsasamantala at paunang pag-access : Hindi bababa sa isang pag-atake ang gumamit ng mga kahinaan ng Ivanti Connect Secure edge device upang i-deploy ang BRICKSTORM. Ang iba pang mga deployment sa Linux at BSD-based na mga appliances ay nananatiling mahirap masubaybayan dahil sa maingat na pagbura ng mga aktor sa mga bakas ng aktibidad.

Agile malware development : May kasamang "delay" timer ang ilang sample ng BRICKSTORM na nagpapaliban ng komunikasyon sa mga C2 server nang ilang buwan. Sa isang pagkakataon, ang malware ay na-deploy sa isang VMware vCenter server pagkatapos magsimula ang pagtugon sa insidente, na nagpapakita ng liksi sa pagpapatakbo.

Pagtaas ng pribilehiyo sa pamamagitan ng BRICKSTEAL : Ginamit ang isang nakakahamak na filter ng Java Servlet sa Apache Tomcat upang makuha ang mga kredensyal ng vCenter. Pagkatapos ay na-clone ng mga umaatake ang mga VM ng Windows Server para sa mga kritikal na sistema tulad ng Mga Controller ng Domain, mga tagapagbigay ng pagkakakilanlan ng SSO, at mga lihim na vault.

In-memory modifications : Sa pamamagitan ng paggamit ng custom na dropper, ang mga attacker ay naglapat ng mga pagbabago sa configuration nang buo sa memorya, iniiwasan ang pag-restart ng application at pagtuklas.

Mga paraan ng pagtitiyaga : Ang mga pagbabago sa init.d, rc.local, o systemd na mga file, kasama ang pag-deploy ng mga JSP web shell tulad ng SLAYSTYLE (aka BEEFLUSH), tiyaking awtomatikong magre-restart ang BRICKSTORM sa pag-reboot ng appliance at nagsasagawa ng mga arbitrary na OS command.

Mga Estratehikong Layunin at Epekto

Ang pangunahing layunin ng campaign na ito ay ang naka-target na data exfiltration, na tumutuon sa mga email at account ng mga developer, system administrator, at mga tauhan na kasangkot sa mga sensitibong lugar na nakahanay sa pang-ekonomiya at mga interes ng espiya ng China. Gamit ang kakayahan ng proxy ng SOCKS, maaaring mag-tunnel ang mga attacker sa mga application ng interes at mag-pivot sa downstream na mga customer ng SaaS o matukoy ang mga zero-day na kahinaan para sa mga campaign sa hinaharap.

Ang kampanya ng BRICKSTORM ay kumakatawan sa isang napaka sopistikadong banta, na may kakayahang lampasan ang mga advanced na depensa ng enterprise at tumuon sa mga target na may mataas na halaga.