Americká Agentura pro kybernetickou bezpečnost a zabezpečení infrastruktury (CISA) zveřejnila podrobnosti o backdooru s názvem BRICKSTORM, který využívají hackerské skupiny sponzorované státem z Čínské lidové republiky k udržení dlouhodobé perzistence v kompromitovaných systémech.
„BRICKSTORM je sofistikovaný backdoor pro prostředí VMware vSphere a Windows,“ uvedla agentura. „BRICKSTORM umožňuje kybernetickým hrozbovým aktérům udržovat skrytý přístup a poskytuje schopnosti pro inicializaci, perzistenci a bezpečné řízení a kontrolu.“
Vlastní implantát napsaný v jazyce Golang v podstatě poskytuje útočníkům interaktivní shellový přístup do systému a umožňuje jim procházet, nahrávat, stahovat, vytvářet, mazat a manipulovat se soubory.
Malware, používaný především při útocích zaměřených na vládní sektor a sektor informačních technologií (IT), také podporuje více protokolů, jako jsou HTTPS, WebSockets a vnořené Transport Layer Security (TLS), pro řízení a kontrolu (C2), DNS-over-HTTPS (DoH) pro skrytí komunikace a splývání s běžným provozem a může fungovat jako SOCKS proxy pro usnadnění laterálního pohybu.
Agentura pro kybernetickou bezpečnost nezveřejnila, kolik vládních agentur bylo zasaženo nebo jaký typ dat byl ukraden. Aktivita představuje pokračující taktický vývoj čínských hackerských skupin, které nadále útočí na hraniční síťová zařízení za účelem proniknutí do sítí a cloudových infrastruktur.
BRICKSTORM byl poprvé zdokumentován společností Google Mandiant v roce 2024 při útocích spojených se zneužitím zero-day zranitelností Ivanti Connect Secure (CVE-2023-46805 a CVE-2024-21887). Použití malwaru bylo připsáno dvěma skupinám sledovaným jako UNC5221 a nový protivník s vazbami na Čínu sledovaný společností CrowdStrike jako Warp Panda.
Začátkem září Mandiant a Google Threat Intelligence Group (GTIG) uvedly, že zaznamenaly cílení na právní služby, poskytovatele software-as-a-service (SaaS), Business Process Outsourcery (BPO) a technologické sektory v USA skupinou UNC5221 a dalšími úzce souvisejícími clustery hrozivých aktivit za účelem doručení malwaru.
Klíčovou funkcí malwaru podle CISA je jeho schopnost automaticky se přeinstalovat nebo restartovat prostřednictvím funkce vlastního monitorování, která umožňuje jeho pokračující provoz i v případě jakéhokoli potenciálního narušení.
V jednom případě detekovaném v dubnu 2024 měli útočníci přístup k webovému serveru uvnitř demilitarizované zóny (DMZ) organizace pomocí webového shellu, než se laterálně přesunuli na interní VMware vCenter server a implantovali BRICKSTORM. Mnoho detailů však zůstává neznámých, včetně vektoru počátečního přístupu použitého při útoku a kdy byl webový shell nasazen.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
