Kalıcı, gizli ve çapraz platformlu Brickstorm Backdoor, ABD teknolojisi ve yasal kuruluşlar için önemli bir tehdit olarak ortaya çıktı.
Google Tehdit İstihbarat Grubu (GTIG) tarafından izlenen ve Mantiant Consulting tarafından araştırılan Brickstorm kampanyaları, hukuk hizmetleri firmalarını, SaaS sağlayıcılarını, BPO’ları ve teknoloji şirketlerini sıfır gün gelişimi ve daha geniş aşağı akış kullanımı için veri hasat etmek için ortalama 393 gün boyunca tespit edilmemiş erişimi sürdürmüştür.
Mart 2025’ten bu yana, GTIG, UNC5221 ve ilgili Çin-nexus kümelerine atfedilen birden fazla müdahale gözlemledi ve geleneksel uç nokta tespiti ve yanıt (EDR) desteğinden yoksun cihazlara tuğla fırtınası uyguladı.
İlk erişim, ağ cihazlarına karşı sıfır gün istismarları da dahil olmak üzere genellikle tehlikeye atılan çevre ve uzaktan erişim altyapısından yararlanır.
İçeri girdikten sonra, aktör, VMware vCenter ve ESXI ana bilgisayarları gibi Linux ve BSD cihazlarında GO tabanlı Brickstorm Backdoor’u (Çorap Proxy işlevselliği ile tamamlayarak-minimal telemetri üretimi ile yanal hareketi sağlayarak bir dayanak oluşturur.
Bir durumda, Mandiant, aktif kötü amaçlı yazılım geliştirmeyi ve olay müdahalesine hızlı uyum sağlayarak, sert kodlanmış bir gelecek tarihe kadar uykuda duran bir zaman gecikmesi varyantı keşfetti.
Ayrıcalık yükseltme teknikleri, ayrıcalıklı kimlik bilgilerini yakalamak için VCenter’ın Web Giriş URI’larında HTTP temel kimlik doğrulama başlıklarını engelleyen Bricksteal olarak adlandırılan kötü amaçlı bir Java Servlet filtresinin bellek içi kurulumunu içerir.
Bu kimlik bilgileriyle, aktör klonları-etki alanı denetleyicileri ve gizli tonozlar gibi kritik sanal makineler vCenter günlük kaydı olaylarını kullanarak, klonlanmış sanal diski çevrimdışı monte eder ve ana bilgisayar tabanlı savunmaları tetiklemeden hassas verileri çıkarır.
Grup ayrıca, açık kaynaklı “Secret Stealer” kamu hizmetleri aracılığıyla Delinea Secret Server örneklerinden kimlik bilgisi hasatını otomatikleştirerek erişim araç setlerini daha da zenginleştirdi.
Brickstorm tarayıcısı çıktı
Savunucuları güçlendirmek için Mantiant, Github’da g_apt_backdoor_brickstorm_3 yara kuralını yara kurulumu gerektirmeden çoğaltan bir tuğlastorm tarayıcısı yayınladı.
Komut dosyası, Brickstorm ile ilişkili benzersiz dize ve onaltılık desenler için *nix tabanlı aletleri ve yedek görüntüleri tarar.
Kuruluşlar aracı indirebilir ve gizli enfeksiyonları yeniden tespit etmeden önce gizli enfeksiyonları tespit etmek için mevcut yedekleme veya dosya sistemi tarama iş akışlarına entegre edebilir.
Tarayıcının yanı sıra Maniant, yönetim arayüzlerinin kötü amaçlı yazılımlar çıkış noktaları olarak hizmet eden yönetilmeyen cihazları (firavnalar, VPN yoğunlaştırıcılar, sanallaştırma platformları, konferans sistemleri ve özel cihazlar içerecek şekilde yeniden değerlendirmenizi önerir.
Ağ günlükleri ve DNS kayıtları, bu arayüzlerden şüpheli giden trafik için, özellikle DNS-HTTP (DOH) bağlantılarından atipik alanlara bağlantılar için çıkarılmalıdır.
TTP tabanlı avcılık rehberliği
Brickstorm’un yüksek operasyonel güvenliği ve gösterge yeniden kullanımı eksikliği göz önüne alındığında, Mandiant atomik göstergelere güvenmek için TTP tabanlı bir avcılık yaklaşımını savunuyor. Anahtar av senaryoları şunları içerir:
- Maniant tarayıcıyı kullanarak tuğla storm artefaktları için tarama cihazı dosya sistemleri ve yedeklemeleri.
- Beklenmedik yönetim arayüzü çıkışı için güvenlik duvarı, netflow ve DNS günlüklerini analiz etmek.
- Anormal kimlik doğrulama olaylarını tespit etmek için EDR, Windows Security olay günlükleri ve kullanıcı erişim günlüklerine karşı cihaz kaynaklı Windows ağ girişlerinin ilişkilendirilmesi.
- Servis-hesap tarama etkinlikleri için kabuk çantalarını ve kimlik bilgisi günlüklerini ayrıştırma.
- Enterprise Application Mail.read ve Full_access_as_App Microsoft 365 Birleştirilmiş Denetim Günlüklerindeki Etkinlikleri İzleme.
- Yüksek değerli sistemlerin saatlerce VM klonlanması için vsphere vpxd günlüklerini gözden geçirme.
- SSH etkinleştirme, yerel hesap oluşturma/silme ve Rogue VM yaşam döngüsü etkinlikleri için vmware denetim olaylarının izlenmesi.
Bu avların uygulanması güncel varlık stokları ve merkezi günlük koleksiyonu gerektirir. Savunucular, cihaz yönetimi arayüzleri için katı en az yaygın erişim ve ağ segmentasyonunu uygulamalı, satıcı güncelleme alanlarına internet erişimini kilitlemeli ve vCenter girişleri için çok faktörlü kimlik doğrulamasını benimsemelidir. Kritik sunucularda sertleştirilmiş kimlik bilgisi tonozları ve TPM tabanlı anahtar depolama, gizli pespiltrasyon riskini daha da azaltır.
Brickstorm operasyonları çok yönlü bir casusluk gündemini yansıtmaktadır-ABD hukuk firmalarından geopolitik istihbarat koleksiyonu, SaaS sağlayıcılarından aşağı akış sızma ve teknoloji şirketlerinden fikri mülkiyet hırsızlığı sıfır gün istismar gelişimini beslemek.
Bu sektörlerdeki kuruluşlar, aletlerinin potansiyel ihlal noktaları olduğunu varsaymalı ve operatörlerine stratejik avantaj sağlamadan önce bu sofistike arka kapıyı tespit etmek ve bozmak için TTP tabanlı savunmalara öncelik vermelidir.
Uzlaşma göstergeleri
İşte tablo formundaki bilgiler:
| Sha-256 karma | Dosya adı | Tanım |
|---|---|---|
| 90B760ED1D0DCB3EF0F2B6D6195C9D852BCB65ECA293578982A8C4B64F51B035 | PG_UPDATE | Tuğla fırtınası |
| 2388ed7ae0b6b392778e8f9e98871c06499f476c9e7e6ca0916f827fe65df | Spclisten | Tuğla fırtınası |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.