Специалисты Google сообщают, что предполагаемые китайские хакеры использовали малварь Brickstorm в шпионских операциях, нацеленных на американские организации в технологическом и юридическом секторах. Злоумышленники скрывались в сетях взломанных компаний около 400 дней.
Brickstorm представляет собой написанный на Go бэкдор, впервые замеченный Google еще в апреле 2024 года. Тогда были обнаружены связанные с Китаем кибератаки, которые распространились через различные граничные устройства и оставались незамеченными в среде жертв в среднем более года.
Эта малварь служила веб-сервером, инструментом для манипуляций с файлами, дроппером, SOCKS-релеем и инструментом выполнения шелл-команд.
По данным экспертов Google Threat Intelligence Group (GTIG), атакующие использовали Brickstorm для скрытого извлечения данных из сетей жертв, и в среднем оставались в инфраструктуре скомпрометированных компаний 393 дня до момента обнаружения.
Исследователи сообщают, что атакам подверглись неназванные компании в юридическом и технологическом секторах, поставщики SaaS-решений, а также BPO. В Google считают, что компрометация таких организаций может помочь злоумышленникам разработать 0-day эксплоиты и расширить атаки на нижестоящих жертв (особенно если они не защищены EDR-решениями).
Эту активность специалисты приписывают кластеру под кодовым названием UNC5221, известному эксплуатацией уязвимости нулевого дня в продуктах Ivanti и атаками на правительственные ведомства с помощью кастомной малвари Spawnant и Zipline.
Так как участники UNC5221 провели длительное время в системах жертв и использования анти-форензик скрипты для сокрытия методов проникновения, аналитики GTIG не смогли с уверенностью определить вектор первоначального доступа, но предполагается, что хакеры эксплуатировали 0-day в пограничных устройствах.
Brickstorm разворачивается на устройствах, не защищенных EDR, включая эндпоинты VMware vCenter/ESXi, где устанавливает связь с управляющим сервером, которая маскируется под трафик Cloudflare, Heroku и других легитимных сервисов.
Затем атакующие пытались повысить привилегии, используя вредоносный Java Servlet Filter (Bricksteal) на vCenter для перехвата учетных данных, а также клонирование Windows Server VM для извлечения секретов.
Украденные учетные данные затем применялись для бокового перемещения и закрепления в системах (включение SSH на ESXi и модификация скриптов запуска init.d и systemd).
Основная цель Brickstorm заключалась в краже электронной почты через Microsoft Entra ID Enterprise Apps, и для маскировки хакеры использовали SOCKS-прокси для туннелирования во внутренние системы и репозитории.
Наблюдения Google показывают, что группа UNC5221 в основном была сосредоточена на разработчиках, администраторах и лицах, связанных с экономическими и оборонными интересами Китая.
По завершении операции малварь удалялась для затруднения проведения анализа. Также расследование было осложнено тем, что UNC5221 никогда не использует дважды одни и те же домены управляющих серверов и образцы малвари.
Чтобы помочь защитникам, специалисты Mandiant выпустили бесплатный сканер-скрипт, использующий YARA-правило для поиска Brickstorm на устройствах Linux и BSD. YARA-правила для Bricksteal и Slaystyle также включены в отчет специалистов.
При этом в Mandiant предупреждают, что этот сканер может не обнаружить все варианты Brickstorm и не гарантирует стопроцентного обнаружения компрометации, не уделяет внимание механизмам закрепления в системе и не предупреждает об уязвимых устройствах.
