BRICKSTORM后门

翻译为：

一个疑似与中国勾结的网络间谍组织一直以美国法律服务、软件即服务 (SaaS)、业务流程外包 (BPO) 和科技行业的公司为目标。其目标是：植入一个名为“BRICKSTORM”的高性能后门。

这些入侵活动归因于 UNC5221 及其密切相关的威胁集群，旨在持续访问受害者网络一年以上，通常以 SaaS 提供商为目标，以访问下游客户环境或代表其托管的数据。在法律和科技领域，这些攻击似乎旨在窃取知识产权、与国家安全相关的情报以及与国际贸易相关的信息。

BRICKSTORM 于去年首次被发现，与 Ivanti Connect Secure 零日漏洞（CVE-2023-46805 和 CVE-2024-21887）的利用有关。该恶意软件至少自 2022 年 11 月起就活跃于欧洲 Windows 环境中。

BRICKSTORM 是用 Go 编写的，具有以下功能：

该恶意软件旨在逃避检测，尤其是在没有传统端点检测和响应 (EDR) 覆盖的设备上。其隐秘的架构使攻击者平均能够潜伏 393 天而不被发现。

威胁行为者采用高度复杂的技术进行横向移动和持久性：

利用和初始访问：至少有一次攻击利用了 Ivanti Connect Secure 边缘设备漏洞来部署 BRICKSTORM。由于攻击者精心清除了活动痕迹，其他在 Linux 和 BSD 设备上的部署仍然难以追踪。

敏捷的恶意软件开发：一些 BRICKSTORM 样本包含一个“延迟”计时器，可将与 C2 服务器的通信延迟数月。在一个案例中，该恶意软件在事件响应开始后才部署到 VMware vCenter 服务器上，展现了其操作敏捷性。

通过 BRICKSTEAL 进行权限提升：攻击者利用 Apache Tomcat 上的恶意 Java Servlet 过滤器捕获 vCenter 凭据。随后，攻击者克隆了 Windows Server 虚拟机，用于关键系统，例如域控制器、SSO 身份提供程序和机密保管库。

内存修改：通过使用自定义植入器，攻击者可以完全在内存中应用配置更改，从而避免应用程序重启和检测。

持久性方法：修改 init.d、rc.local 或 systemd 文件，以及部署 SLAYSTYLE（又名 BEEFLUSH）等 JSP web shell，确保 BRICKSTORM 在设备重启时自动重启并执行任意 OS 命令。

此次攻击活动的主要目标是有针对性地窃取数据，重点关注开发人员、系统管理员以及涉及与中国经济和间谍利益相关的敏感领域人员的电子邮件和账户。攻击者可以利用 SOCKS 代理功能，侵入目标应用程序，并转向下游 SaaS 客户，或识别零日漏洞，为未来的攻击活动做准备。

BRICKSTORM 活动代表着一种高度复杂的威胁，能够绕过先进的企业防御并专注于高价值目标。

搜索