Çin bağlantılı bir tehdit aktörü, Brickstorm kötü amaçlı yazılımını dağıtmadan önce ABD merkezli şirketlerin VMware vCenter ortamlarına saldırdı, güvenlik şirketi CrowdStrike bir blog yazısında uyardı perşembe yayınlandı.
Warp Panda adı altında takip edilen tehdit aktörü, 2025 yazında hukuk, teknoloji ve imalat firmaları da dahil olmak üzere birçok sektörü hedef aldı.
Bilgisayar korsanları, Brickstorm kötü amaçlı yazılım dağıtımına ek olarak, VMware ESXi hiper yönetici ortamlarını hedef alan JSP web kabuklarını ve Junction ve Guest Conduit olarak takip edilen iki Golang tabanlı implantı da konuşlandırdı.
Bilgisayar korsanları, geçerli kimlik bilgilerini kullanarak vCenter ortamlarına geçmeden veya vCenter’daki güvenlik açıklarından yararlanmadan önce, ilk erişim için internete bakan uç cihazlardan yararlandı.
Warp Panda, bu saldırılar sırasında uzun vadeli, kalıcı erişimi sürdürmeye odaklandı. Bir olayda, bilgisayar korsanları ilk erişimi 2023’te elde etti.
Uyarı bir tavsiyeyle çakıştı Siber Güvenlik ve Altyapı Güvenlik Ajansı ve Ulusal Güvenlik Ajansı Çarşamba günü, devlet destekli bilgisayar korsanlarının Brickstorm kötü amaçlı yazılımını kullanarak devlet hizmetlerindeki ve bilgi teknolojisi sağlayıcılarındaki VMware vSphere platformlarını hedef aldığı konusunda uyarıda bulundu.
CISA, NSA ve Kanada Siber Güvenlik Merkezi, bilgisayar korsanlarının kimlik bilgilerini çıkarmak ve gizli, hileli sanal makineler oluşturmak için klonlanmış sanal makine anlık görüntülerini çaldığı konusunda uyardı.
CISA, hedeflenen kuruluşlardan sekiz kötü amaçlı yazılım örneği topladı. Bir vakada kuruluşlar, bilgisayar korsanlarının Nisan 2024’ten Eylül 2025’e kadar bir ağ içinde kaldığını öğrendi.
Eylül ayında, Google Tehdit İstihbaratı Grubu’ndaki araştırmacılar devlet bağlantılı bilgisayar korsanlarının teknoloji firmalarına ve SaaS sağlayıcılarına yönelik tedarik zinciri saldırılarında Brickstorm kötü amaçlı yazılımını kullanmaları konusunda uyardı.
GTIG, devlet bağlantılı aktörlerin ABD kuruluşlarını hedef alan devam eden saldırılarda Brickstorm kullanımını geliştirdiklerini söyledi.
GTIG’nin baş tehdit analisti Austin Larsen, Cybersecurity Dive’a e-posta yoluyla şunları söyledi: “Bu kampanya, Çin bağlantılı aktörlerin genellikle yeterli güvenlik izlemesi olmayan ağ cihazları gibi cihazları hedef alan daha geniş bir eğilimi vurguluyor.” “Bu uzun süredir devam eden kampanyanın amacı, stratejik avantaj sağlamak için ABD merkezli kuruluşlardan hassas verileri çalmak.”