Şüpheli Çinli bilgisayar korsanları, teknoloji ve yasal sektörlerdeki ABD kuruluşlarına karşı uzun vadeli kalıcılık casusluk operasyonlarında tuğla fırtınası kötü amaçlı yazılımlarını kullandılar.
Brickstorm, çeşitli kenar cihazlarından ortaya çıkan ve kurban ortamında ortalama olarak ortalama olarak tespit edilmeyen Çin ile ilgili müdahalelerin ardından Nisan 2024’te Google tarafından belgelenen Go tabanlı bir arka kapıdır.
Kötü amaçlı yazılım bir web sunucusu, dosya manipülasyon aracı, damlalık, çorap rölesi ve kabuk komut yürütme aracı olarak hizmet etti.
Google Tehdit İstihbarat Grubu’na (GTIG) göre, saldırganlar tespit edilmeden önce ortalama 393 gün boyunca kurbanlarının ağlarından verileri sessizce sifonlamak için tuğla fırtınası kullandılar.
Araştırmacılar, yasal ve teknoloji sektörlerindeki uzlaşmış kuruluşları, hizmet olarak yazılım (SAAS) sağlayıcılarını ve ayrıca iş süreci dış kaynak kullanıcılarını (BPO’lar) doğruladılar.
Google, bu tür varlıklardan ödün vermenin bir tehdit oyuncunun sıfır gün istismarlarını geliştirmesine ve saldırıyı aşağı akış kurbanlarına, özellikle de son nokta tespit ve yanıt (EDR) çözümleriyle korunmayanlara genişletmesine yardımcı olabileceğini belirtiyor.
Araştırmacılar, bu saldırıları, Ivanti sıfır günlerini sömürmekle ünlü olan UNC5221 etkinlik kümesine bağladılar ve devlet kurumlarına yumurtlama ve zipline gibi özel kötü amaçlı yazılımlarla saldırdı.
Brickstorm etkinliği
Mağdur sistemleri üzerindeki uzun bekleme süresi ve UNC5221’in giriş yolunu gizlemek için forensik anti-komut dosyaları kullanması nedeniyle, GTIG coulld başlangıç erişim vektörünü güvenle belirlemez, ancak araştırmacılar kenar cihazlarındaki sıfır günlerin kullanılmasının dahil olduğuna inanmaktadır.
Brickstorm, VMware VCenter/ESXI uç noktaları da dahil olmak üzere EDR’yi desteklemeyen cihazlara dağıtılır ve burada Cloudflare, Heroku ve diğer meşru trafik olarak değişimi maskelenirken komut ve kontrol (C2) ile iletişim kurar.
Bir dayanak kurduktan sonra, saldırgan, kimlik bilgilerini yakalamak için vCenter üzerinde kötü amaçlı bir Java Servlet filtresi (tuğla) kullanarak ayrıcalıkları artırmaya çalıştı ve Windows Server VM’lerini sırları çıkarmak için klonladı.
Çalınan kimlik bilgileri daha sonra ESXI’da SSH’yi etkinleştirmeyi ve başlangıç komut dosyalarını değiştirmeyi içeren yanal hareket ve kalıcılık için kullanılır.
Brickstorm’un birincil operasyonel hedefi, e -postaları Microsoft Entra ID Enterprise uygulamaları aracılığıyla yaymak, çorap proxy’sini dahili sistemlere ve kod depolarına tünel yapmak için yüksek düzeyde gizliliği korumaktır.
Google’ın gözlemleri, UNC5221’in Çin’in ekonomik ve güvenlik çıkarlarına bağlı geliştiricilere, yöneticilere ve bireylere güçlü bir şekilde odaklandığını göstermektedir.
Operasyon tamamlandığında, kötü amaçlı yazılımlar adli araştırmaları engellemek için kaldırılır. Bunlar, UNC5221’in asla aynı C2 alanlarını veya kötü amaçlı yazılım örneklerini iki katına kullanmadığı gerçeğinden daha da karmaşık hale getirilmiştir.
Savunuculara yardım etmek için Mandiant, Linux ve BSD cihazları için bir tuğla fırtınası Yara kuralını çoğaltan ücretsiz bir tarayıcı komut dosyası yayınladı. Rapora Yara Bricksteal ve Slaystyle için kurallar da dahildir.
Mantiant, tarayıcının tüm tuğla fırtınası varyantlarını algılayamayabileceği konusunda uyarır, zamanın% 100 uzlaşmasının tespit edilmesini garanti etmez, kalıcılık mekanizmalarını aramaz ve savunmasız cihazlar hakkında uyarmaz.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.