Google’ın Tehdit İstihbarat Grubu (GTIG) ve Mantiant, Çin bağlantılı UNC5221 İleri Dikkatli Tehdit (APT) aktörlerine atfettiği Brickstorm Backdoor Casusluk Kötü Yazılımının bir analizini yayınladılar.
GTIG-Manant, bu yılın Mart ayından bu yana yazılı ve bu yılın Mart ayından bu yana aktif olarak yazılan Brickstorm, kurban ağlarında son derece uzun bir sürekliliğe veya bekleme süresine sahip.
Bu tür uzun süreler tipik ihlal algılama günlüğü sürelerini aşar, bazı durumlarda kötü amaçlı yazılımlar, bir komut ve kontrol (C2) sunucusuna etkinleştirilmeden ve bağlanmadan önce aylarca gecikme zamanlayıcısına sahiptir.
Saldırganlar kasten güvenlik duvarları, sanal özel ağ konsantratörleri ve Brickstorm ile VMware VCenter altyapısı gibi sanallaştırma platformlarını kasıtlı olarak hedefliyor.
Sanallaştırılmış ortamlara daha fazla erişim için Web mermileri ve ek kötü amaçlı yazılımlar da vCenter sunucularına yüklenebilir.
Araştırmacılar, Brickststyal Java Servlet Filtresi, VCenter kimlik doğrulamasını hedefleme ve Slaystyle Java Server sayfaları (JSPS) web mermileri gibi kötü amaçlı yazılımlar içeriyor.
Google’ın araştırmacıları, “Bu müdahaleler, geleneksel uç nokta algılama ve yanıt (EDR) araçlarını desteklemeyen cihazlara backdoors dağıtarak uzun vadeli gizli erişimi sürdürmeye odaklanarak yürütülüyor.” Dedi.
Kötü amaçlı yazılımın tespiti, şaşkınlık, tek kullanımlık C2 alanları ve cihaz iş akışlarıyla harmanlanarak zorlaştırılır.
Araştırmacılar, yasal hizmetler, iş süreci dış kaynak kullanıcıları (BPO’lar) ve hizmet olarak yazılım (SAAS) sağlayıcıları, Bricktorm’un hedeflerinden bazıları olduğunu söyledi.
Veri eksfiltrasyonu, jeopolitik casusluk, erişim operasyonları ve fikri mülkiyet ile birlikte güvenlik duvarlarını ve diğer erişim kısıtlamalarını atlayabilen çorap (soket güvenli) ağ protokolünden tünel atan ana hedeftir.
Hassas yönetici posta kutuları, tuğla fırtınası tehlikeye atılan sistemlerde çorap vekilleri aracılığıyla açıklanır.
UNC5221 apt, geçmiş saldırılarda tedarik zincirlerini hedefleyen ipek tayfun veya Hafnium grubuna bağlı olabilir.
Ancak Google-Mandiant, tuğla fırtınasının hedefleme kalıplarına dayanarak farklı bir APT’nin işi olabileceğini teorize etti.
Mantiant, GitHub açık kaynak deposunda Linux ve BSD tabanlı aletler ve sistemlerde çalışan bir tuğla fırtınası tarama betiği yayınladı.