BRICKSTORM後門

翻譯為：

一個疑似與中國勾結的網路間諜組織一直以美國法律服務、軟體即服務 (SaaS)、業務流程外包 (BPO) 和科技業的公司為目標。其目標是：植入一個名為「BRICKSTORM」的高性能後門。

這些入侵活動歸因於 UNC5221 及其密切相關的威脅集群，旨在持續存取受害者網路一年以上，通常以 SaaS 提供者為目標，以存取下游客戶環境或代表其託管的資料。在法律和科技領域，這些攻擊似乎旨在竊取智慧財產權、與國家安全相關的情報以及與國際貿易相關的資訊。

BRICKSTORM 於去年首次被發現，與 Ivanti Connect Secure 零日漏洞（CVE-2023-46805 和 CVE-2024-21887）的利用有關。該惡意軟體至少自 2022 年 11 月起就活躍於歐洲 Windows 環境。

BRICKSTORM 是用 Go 編寫的，具有以下功能：

該惡意軟體旨在逃避檢測，尤其是在沒有傳統端點檢測和回應 (EDR) 覆蓋的裝置上。其隱密的架構使攻擊者平均能夠潛伏 393 天而不被發現。

威脅行為者採用高度複雜的技術進行橫向移動和持久性：

利用與初始存取：至少有一次攻擊利用了 Ivanti Connect Secure 邊緣設備漏洞來部署 BRICKSTORM。由於攻擊者精心清除了活動痕跡，其他在 Linux 和 BSD 裝置上的部署仍然難以追蹤。

敏捷的惡意軟體開發：一些 BRICKSTORM 樣本包含一個「延遲」計時器，可將與 C2 伺服器的通訊延遲數月。在一個案例中，該惡意軟體在事件回應開始後才部署到 VMware vCenter 伺服器上，展現了其操作敏捷性。

透過 BRICKSTEAL 進行權限提升：攻擊者利用 Apache Tomcat 上的惡意 Java Servlet 過濾器來擷取 vCenter 憑證。隨後，攻擊者複製了 Windows Server 虛擬機，用於關鍵系統，例如網域控制站、SSO 身分提供者和機密保管庫。

記憶體修改：透過使用自訂植入器，攻擊者可以完全在記憶體中應用配置更改，從而避免應用程式重新啟動和偵測。

持久性方法：修改 init.d、rc.local 或 systemd 文件，以及部署 SLAYSTYLE（又稱 BEEFLUSH）等 JSP web shell，確保 BRICKSTORM 在裝置重新啟動時自動重新啟動並執行任意 OS 指令。

這次攻擊活動的主要目標是有針對性地竊取數據，重點關注開發人員、系統管理員以及涉及與中國經濟和間諜利益相關的敏感領域人員的電子郵件和帳戶。攻擊者可以利用 SOCKS 代理功能，侵入目標應用程序，並轉向下游 SaaS 客戶，或識別零日漏洞，為未來的攻擊活動做準備。

BRICKSTORM 活動代表著高度複雜的威脅，能夠繞過先進的企業防禦並專注於高價值目標。

搜索