BRICKSTORM Cửa sau
Một nhóm gián điệp mạng bị nghi ngờ có liên hệ với Trung Quốc đã nhắm mục tiêu vào các công ty trong lĩnh vực dịch vụ pháp lý, phần mềm dưới dạng dịch vụ (SaaS), gia công quy trình kinh doanh (BPO) và công nghệ tại Hoa Kỳ. Mục tiêu: triển khai một backdoor có khả năng tấn công cao, được gọi là BRICKSTORM.
Được cho là do UNC5221 và các nhóm mối đe dọa liên quan chặt chẽ, các cuộc xâm nhập này nhằm mục đích duy trì quyền truy cập liên tục vào mạng của nạn nhân trong hơn một năm, thường nhắm vào các nhà cung cấp SaaS để tiếp cận môi trường khách hàng hạ nguồn hoặc dữ liệu được lưu trữ thay mặt họ. Trong lĩnh vực pháp lý và công nghệ, các cuộc tấn công dường như được thúc đẩy bởi hành vi trộm cắp tài sản trí tuệ, thông tin tình báo liên quan đến an ninh quốc gia và thông tin liên quan đến thương mại quốc tế.
Mục lục
BRICKSTORM: Cửa sau ẩn giấu
Lần đầu tiên được phát hiện vào năm ngoái, BRICKSTORM được cho là có liên quan đến việc khai thác lỗ hổng zero-day của Ivanti Connect Secure (CVE-2023-46805 và CVE-2024-21887). Nó cũng đã hoạt động trong môi trường Windows châu Âu kể từ ít nhất tháng 11 năm 2022.
BRICKSTORM, được viết bằng Go, bao gồm các khả năng:
- Hoạt động như một máy chủ web.
- Thao tác với hệ thống tập tin và thư mục.
- Tải lên/tải xuống tệp và thực thi lệnh shell.
- Hoạt động như một proxy SOCKS.
- Giao tiếp với máy chủ Command-and-Control (C2) thông qua WebSockets.
Phần mềm độc hại này được thiết kế để tránh bị phát hiện, đặc biệt là trên các thiết bị không có khả năng phát hiện và phản hồi điểm cuối (EDR) truyền thống. Kiến trúc ẩn của nó cho phép kẻ tấn công ẩn náu mà không bị phát hiện trong trung bình 393 ngày.
Kỹ thuật tiên tiến để tàng hình và bền bỉ
Những kẻ đe dọa sử dụng các kỹ thuật cực kỳ tinh vi để di chuyển ngang và duy trì:
Khai thác và truy cập ban đầu : Ít nhất một cuộc tấn công đã lợi dụng lỗ hổng thiết bị biên Ivanti Connect Secure để triển khai BRICKSTORM. Các triển khai khác trên các thiết bị dựa trên Linux và BSD vẫn khó theo dõi do kẻ tấn công đã cẩn thận xóa dấu vết hoạt động.
Phát triển phần mềm độc hại linh hoạt : Một số mẫu BRICKSTORM bao gồm bộ hẹn giờ "trì hoãn" giúp trì hoãn giao tiếp với máy chủ C2 trong nhiều tháng. Trong một trường hợp, phần mềm độc hại được triển khai trên máy chủ VMware vCenter sau khi phản hồi sự cố đã bắt đầu, thể hiện tính linh hoạt trong vận hành.
Leo thang đặc quyền thông qua BRICKSTEAL : Một bộ lọc Java Servlet độc hại trên Apache Tomcat đã được sử dụng để đánh cắp thông tin đăng nhập vCenter. Sau đó, kẻ tấn công đã sao chép các máy ảo Windows Server cho các hệ thống quan trọng như Bộ điều khiển Miền, nhà cung cấp danh tính SSO và kho lưu trữ bí mật.
Sửa đổi trong bộ nhớ : Bằng cách sử dụng dropper tùy chỉnh, kẻ tấn công áp dụng các thay đổi cấu hình hoàn toàn trong bộ nhớ, tránh khởi động lại ứng dụng và phát hiện.
Phương pháp duy trì : Sửa đổi các tệp init.d, rc.local hoặc systemd, cùng với việc triển khai các shell web JSP như SLAYSTYLE (hay còn gọi là BEEFLUSH), đảm bảo BRICKSTORM tự động khởi động lại khi thiết bị khởi động lại và thực thi các lệnh hệ điều hành tùy ý.
Mục tiêu và tác động chiến lược
Mục tiêu chính của chiến dịch này là đánh cắp dữ liệu có chủ đích, tập trung vào email và tài khoản của các nhà phát triển, quản trị viên hệ thống và nhân sự liên quan đến các lĩnh vực nhạy cảm có liên quan đến lợi ích kinh tế và gián điệp của Trung Quốc. Sử dụng khả năng proxy SOCKS, kẻ tấn công có thể xâm nhập vào các ứng dụng quan tâm và chuyển hướng sang khách hàng SaaS hạ nguồn hoặc xác định các lỗ hổng zero-day cho các chiến dịch trong tương lai.
Chiến dịch BRICKSTORM là mối đe dọa cực kỳ tinh vi, có khả năng vượt qua hệ thống phòng thủ tiên tiến của doanh nghiệp và tập trung vào các mục tiêu có giá trị cao.
