美国的法律服务、软件即服务(SaaS)提供商、业务流程外包商(BPOs)以及科技行业的公司成为了一个疑似黑客组织的攻击目标,该组织旨在植入一个名为BRICKSTORM的已知后门程序。
曼迪昂特公司和谷歌威胁情报小组(GTIG)在与《黑客新闻》分享的一份新报告中表示,这一活动被归因于UNC5221以及与其密切相关、疑似与中国有关联的威胁集群,其目的是为了能持续访问受害组织超过一年时间。
经评估,“BRICKSTORM”针对SaaS提供商的目标是获取下游客户环境的访问权限,或是SaaS提供商代客户托管的数据;而其针对美国法律和科技领域的行动,则可能是为了收集与国家安全和国际贸易相关的信息,以及窃取知识产权以推进零日漏洞利用工具的开发。
去年,这家科技巨头首次记录了BRICKSTORM,当时它与Ivanti Connect Secure零日漏洞(CVE-2023-46805和CVE-2024-21887)的零日利用有关。至少从2022年11月起,它还被用于针对欧洲的Windows环境。
BRICKSTORM是一个基于Go语言的后门程序,具备将自身设置为Web服务器、执行文件系统和目录操作、进行上传/下载等文件操作、执行shell命令以及充当SOCKS中继的能力。它通过WebSocket与命令控制(C2)服务器进行通信。
今年早些时候,美国政府指出,被追踪为APT27(又名“信使熊猫”)的与有关联的威胁集群,与“丝绸台风”、UNC5221和UTA0178存在重叠。不过,当时全球威胁情报集团(GTIG)告诉《黑客新闻》,其自身没有足够的证据证实这种关联,并且正将它们视为两个不同的实体。
“这些入侵行为的特别之处在于,通过在不支持传统端点检测与响应(EDR)工具的设备上部署后门,以维持长期的秘密访问,”GTIG表示,并补充称自2025年3月以来,该机构已响应了多起入侵事件。
“该攻击者采用的横向移动和数据窃取方法产生的安全遥测极少甚至为零。再加上对BRICKSTORM后门程序的修改,使得他们在受害者环境中平均能保持393天不被发现。”
在至少一个案例中,据称威胁行为者利用了Ivanti Connect Secure边缘设备中上述的安全漏洞来获取初始访问权限并植入BRICKSTORM。但由于较长的驻留时间以及威胁行为者试图抹去其活动痕迹,很难确定在其他案例中,向多家制造商的基于Linux和BSD的设备交付恶意软件时所使用的初始访问途径。
有证据表明,这款恶意软件正在积极开发中,其中一个样本包含一个“延迟”计时器,会等待未来几个月的一个硬编码日期,然后才开始与它的命令与控制服务器建立联系。谷歌表示,BRICKSTORM变种是在目标组织启动事件响应工作后,被部署到内部的VMware vCenter服务器上的,这表明该黑客组织具备保持持久存在的敏捷性。
这些攻击的特点还包括使用一个名为BRICKSTEAL的恶意Java Servlet过滤器针对Apache Tomcat服务器,以捕获vCenter凭据进行权限提升,随后利用该凭据克隆关键系统(如域控制器、SSO身份提供商和密钥库)的Windows Server虚拟机。
谷歌表示:“通常情况下,安装过滤器需要修改配置文件并重启或重新加载应用程序;然而,该攻击者使用了一个自定义投放器,完全在内存中进行修改,这使其极具隐蔽性,并且无需重启。”
此外,已发现威胁行为者利用有效凭据进行横向移动,以转向VMware基础设施,并通过修改init.d、rc.local或systemd文件来建立持久性,确保后门在设备重启时自动启动。另一种方法是部署名为SLAYSTYLE(又名BEEFLUSH)的JavaServer Pages(JSP)网页shell,以接收和执行通过HTTP请求传递的任意操作系统命令。
该行动的主要目标是获取受害者实体内部关键人员的电子邮件,这些人员包括开发人员、系统管理员以及参与与中国经济和间谍利益相符事务的人员。BRICKSTORM的SOCKS代理功能被用于创建隧道,直接访问攻击者认为有价值的应用程序。
谷歌表示,其已开发出一款shell脚本扫描器,供潜在受害者判断自己的Linux和基于BSD的设备及系统是否受到了BRICKSTORM活动的影响。该工具通过标记与已知恶意软件特征相匹配的文件来发挥作用。话虽如此,它并不能保证在所有情况下都能检测到感染,也无法扫描其他入侵指标(IoC)。
谷歌云旗下Mandiant咨询公司的首席技术官查尔斯·卡马克在给《黑客新闻》的一份声明中表示:“‘BRICKSTORM’行动因其复杂性、对先进企业安全防御措施的规避能力以及对高价值目标的专注,构成了重大威胁。”
“UNC5221获得的访问权限使他们能够转向已被入侵的SaaS供应商的下游客户,或发现企业技术中的零日漏洞,这些漏洞可用于未来的攻击。我们鼓励各组织搜寻可能存在于其系统上、且未被端点检测与响应(EDR)覆盖的BRICKSTORM及其他后门程序。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
