Бекдор BRICKSTORM
Підозрювана пов'язана з Китаєм група кібершпигунів атакувала компанії в американських секторах юридичних послуг, програмного забезпечення як послуги (SaaS), аутсорсингу бізнес-процесів (BPO) та технологій. Мета: створити високопродуктивний бекдор, відомий як BRICKSTORM.
Ці вторгнення, що приписуються UNC5221 та тісно пов'язаним кластерам загроз, спрямовані на підтримку постійного доступу до мереж жертв протягом понад року, часто спрямовані на постачальників SaaS, щоб отримати доступ до середовищ клієнтів або даних, розміщених від їхнього імені. У юридичному та технологічному секторах атаки, схоже, мотивовані крадіжкою інтелектуальної власності, розвідувальних даних, пов'язаних з національною безпекою, та інформації, що стосується міжнародної торгівлі.
Зміст
BRICKSTORM: Захований бекдор
Вперше виявлений минулого року, BRICKSTORM був пов'язаний з використанням вразливостей нульового дня Ivanti Connect Secure (CVE-2023-46805 та CVE-2024-21887). Він також був активний у європейських середовищах Windows щонайменше з листопада 2022 року.
BRICKSTORM, написаний на Go, включає такі можливості:
- Виступати в ролі веб-сервера.
- Маніпулювати файловими системами та каталогами.
- Завантажувати/вивантажувати файли та виконувати команди оболонки.
- Працювати як SOCKS-проксі.
- Зв'язок із сервером командування та управління (C2) через WebSockets.
Шкідливе програмне забезпечення розроблене таким чином, щоб уникнути виявлення, особливо на пристроях без традиційного покриття виявлення та реагування на кінцеві точки (EDR). Його прихована архітектура дозволяє зловмисникам залишатися непоміченими в середньому 393 дні.
Передові методи для прихованості та наполегливості
Зловмисники використовують дуже складні методи для латерального переміщення та стійкості:
Експлуатація та початковий доступ : Принаймні одна атака використала вразливості периферійних пристроїв Ivanti Connect Secure для розгортання BRICKSTORM. Інші розгортання на пристроях на базі Linux та BSD залишаються складними для відстеження через ретельне стирання слідів активності зловмисниками.
Гнучка розробка шкідливого програмного забезпечення : деякі зразки BRICKSTORM містять таймер «затримки», який відкладає зв’язок із серверами C2 на місяці. В одному випадку шкідливе програмне забезпечення було розгорнуто на сервері VMware vCenter після початку реагування на інцидент, що демонструє операційну гнучкість.
Ескалація привілеїв через BRICKSTEAL : Шкідливий фільтр сервлетів Java на Apache Tomcat був використаний для захоплення облікових даних vCenter. Потім зловмисники клонували віртуальні машини Windows Server для критично важливих систем, таких як контролери домену, постачальники ідентифікації SSO та секретні сховища.
Модифікації в пам'яті : Використовуючи спеціальний дроппер, зловмисники застосовували зміни конфігурації повністю в пам'яті, уникаючи перезапуску програм та виявлення.
Методи збереження : модифікації файлів init.d, rc.local або systemd, а також розгортання JSP-веб-оболонок, таких як SLAYSTYLE (також відома як BEEFLUSH), гарантують автоматичний перезапуск BRICKSTORM після перезавантаження пристрою та виконання довільних команд ОС.
Стратегічні цілі та вплив
Основною метою цієї кампанії є цілеспрямоване вилучення даних, зосереджене на електронних листах та облікових записах розробників, системних адміністраторів та персоналу, задіяного в чутливих сферах, пов'язаних з економічними та шпигунськими інтересами Китаю. Використовуючи можливості проксі-сервера SOCKS, зловмисники можуть проникати в додатки, що стосуються їх, та перенаправляти їх до SaaS-клієнтів нижчого рівня або виявляти вразливості нульового дня для майбутніх кампаній.
Кампанія BRICKSTORM являє собою надзвичайно складну загрозу, здатну обійти передові засоби захисту підприємств та зосередитися на цінних цілях.
