BRICKSTORM Arka Kapısı
Çin bağlantılı olduğundan şüphelenilen bir siber casusluk grubu, ABD hukuk hizmetleri, hizmet olarak yazılım (SaaS), İş Süreci Dış Kaynak Kullanımı (BPO) ve teknoloji sektörlerindeki şirketleri hedef alıyor. Amaç: BRICKSTORM olarak bilinen son derece yetenekli bir arka kapı açmak.
UNC5221 ve yakından ilişkili tehdit kümelerine atfedilen bu saldırılar, kurban ağlarına bir yıldan uzun süre boyunca sürekli erişim sağlamayı amaçlar ve genellikle SaaS sağlayıcılarını hedef alarak alt akış müşteri ortamlarına veya kendi adlarına barındırılan verilere ulaşır. Hukuk ve teknoloji sektörlerinde, saldırıların fikri mülkiyet hırsızlığı, ulusal güvenlikle ilgili istihbarat ve uluslararası ticaretle ilgili bilgilerden kaynaklandığı görülmektedir.
İçindekiler
BRICKSTORM: Gizli Kalan Arka Kapı
İlk olarak geçen yıl gözlemlenen BRICKSTORM, Ivanti Connect Secure sıfır gün güvenlik açıklarının (CVE-2023-46805 ve CVE-2024-21887) istismarıyla ilişkilendirilmişti. Ayrıca, en azından Kasım 2022'den beri Avrupa Windows ortamlarında da aktiftir.
Go ile yazılan BRICKSTORM şu yetenekleri içerir:
- Bir web sunucusu gibi davranın.
- Dosya sistemlerini ve dizinleri değiştirin.
- Dosyaları yükleyin/indirin ve kabuk komutlarını çalıştırın.
- SOCKS proxy'si olarak çalışır.
- WebSockets aracılığıyla bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurun.
Kötü amaçlı yazılım, özellikle geleneksel uç nokta tespit ve müdahale (EDR) kapsamı olmayan cihazlarda tespit edilmekten kaçınmak üzere tasarlanmıştır. Gizli mimarisi, saldırganların ortalama 393 gün boyunca tespit edilememesini sağlar.
Gizlilik ve Kalıcılık için Gelişmiş Teknikler
Tehdit aktörleri, yanal hareket ve kalıcılık için oldukça karmaşık teknikler kullanırlar:
İstismar ve ilk erişim : En az bir saldırı, Ivanti Connect Secure uç cihaz güvenlik açıklarından yararlanarak BRICKSTORM'u dağıttı. Linux ve BSD tabanlı cihazlardaki diğer dağıtımların, saldırganların etkinlik izlerini dikkatlice silmeleri nedeniyle izlenmesi hala zor.
Çevik kötü amaçlı yazılım geliştirme : Bazı BRICKSTORM örnekleri, C2 sunucularıyla iletişimi aylarca erteleyen bir "geciktirme" zamanlayıcısı içerir. Bir örnekte, kötü amaçlı yazılım, olay müdahalesi başladıktan sonra bir VMware vCenter sunucusuna dağıtılarak operasyonel çeviklik gösterilmiştir.
BRICKSTEAL aracılığıyla ayrıcalık yükseltme : Apache Tomcat üzerinde kötü amaçlı bir Java Servlet filtresi kullanılarak vCenter kimlik bilgileri ele geçirildi. Saldırganlar daha sonra Etki Alanı Denetleyicileri, SSO kimlik sağlayıcıları ve gizli kasalar gibi kritik sistemler için Windows Server sanal makinelerini klonladı.
Bellek içi değişiklikler : Saldırganlar, özel bir damlalık kullanarak yapılandırma değişikliklerini tamamen bellekte uyguladılar ve uygulama yeniden başlatmalarını ve tespit edilmesini önlediler.
Kalıcılık yöntemleri : init.d, rc.local veya systemd dosyalarında yapılan değişiklikler ve SLAYSTYLE (diğer adıyla BEEFLUSH) gibi JSP web kabuklarının dağıtımı, BRICKSTORM'un cihaz yeniden başlatıldığında otomatik olarak yeniden başlatılmasını ve keyfi işletim sistemi komutlarını yürütmesini sağlar.
Stratejik Hedefler ve Etki
Bu kampanyanın temel amacı, Çin'in ekonomik ve casusluk çıkarlarıyla uyumlu hassas alanlarda faaliyet gösteren geliştiricilerin, sistem yöneticilerinin ve personelin e-posta ve hesaplarına odaklanarak hedefli veri sızdırmaktır. Saldırganlar, SOCKS proxy özelliğini kullanarak, ilgi duydukları uygulamalara tünel açabilir, alt akış SaaS müşterilerine yönelebilir veya gelecekteki kampanyalar için sıfırıncı gün güvenlik açıklarını tespit edebilir.
BRICKSTORM kampanyası, gelişmiş kurumsal savunmaları aşabilen ve yüksek değerli hedeflere odaklanabilen oldukça karmaşık bir tehdittir.
