Yeni tanımlanan Brickstorm kötü amaçlı yazılım varyantlarından yararlanan sofistike bir siber casusluk kampanyası, en az 2022’den beri Avrupa stratejik endüstrilerini hedef aldı.
Nviso’nun teknik analizine göre, daha önce Linux vCenter sunucularıyla sınırlı olan bu arka kapılar artık Windows ortamlarını enfekte ederek, çok katmanlı şifreleme, DNS-HTTPS (DOH) omsuscation ve Bulut Tabanlı Komut ve Kontrol (C2) altyapısını EVADE tespiti için kullanıyor.
Çin-Nexus aktör UNC5221 ile bağlantılı kötü amaçlı yazılım, ekonomik ilerleme için fikri mülkiyet ve teknolojik sırlar edinmek için Çin Halk Cumhuriyeti’nin (PRC) stratejik hedeflerine hizalanır.
.png
)
Brickstorm’un yeteneklerinin teknik evrimi
GO 1.13.5’te yazılmış Brickstorm’un Windows varyantları, doğrudan komut yürütme işlevselliğinden yoksundur, bunun yerine çalıntı kimlik bilgilerini kullanarak RDP ve SMB gibi kötüye kullanım protokollerini kötüye kullanmak için ağ tüneline güvenir.
Bu değişim, etkileşimli tehditler için ortak bir algılama mekanizması olan ebeveyn-çocuk işlem izlemesini önler.
Kötü amaçlı yazılımların dosya yönetim sistemi, dosyaları yüklemek, indirmek ve değiştirmek için JSON tabanlı bir HTTP API’sı kullanırken, tünelleme modülü yanal hareket için TCP, UDP ve ICMP aktarımını destekler.
Daha yeni örneklerde kritik bir güncelleme, sert kodlanmış IP adreslerinin tanıtılmasıdır ( IPAddrs yapılandırma parametresi), DOH kısıtlı ortamlarda çalışmaya izin verir.
Eski varyantlar, yalnızca Dört9 ve Cloudflare gibi sağlayıcılar aracılığıyla DOH çözünürlüğüne dayanarak, DNS sorgularını geleneksel izlemeyi atlamak için HTTPS sonrası isteklere yerleştirdi.
Çok katmanlı kaçış mimarisi
Brickstorm, iletişimi gizlemek için iç içe bir TLS çerçevesi kullanır:
- Dış katman: Geçerli sertifikalara sahip sunucusuz platformlara (Cloudflare çalışanları, Heroku) meşru HTTPS bağlantıları.
- Orta katman: Bir WebSocket yükseltmesi ve ardından bir statik kullanarak kimlik doğrulaması yapan ikinci bir TLS el sıkışma
AuthKey. - İç katman: Hashicorp’ın Yamux kütüphanesi aracılığıyla çoğalmış ve dosya eksfiltrasyonu ve tünelleme gibi eşzamanlı C2 etkinliklerini sağlayan üçüncü bir TLS oturumu.
Bu mimari, dış katmanlar denetlense bile, en içteki TLS şifreli trafiğin opak kalmasını sağlar.
Özellikle, Brickstorm’un operatörleri bakım sırasında ikinci katmanlı altyapı aralıklı olarak maruz bırakarak vultr barındırılmış örnekleri ortaya çıkardı (örn. 64.176.166.79) Bulut ön uçlarının arkasında.
Brickstorm’un C2 altyapısı, dinamik DNS hizmetlerinden yararlanır nip.io ve sertifika şeffaflık boşlukları.
Örneğin, alan adı ms-azure.azdatastore.workers.dev Tarihi Heroku Alanları (ms-azure.herokuapp.com) 2022 gibi erken bir tarihte kaydedildi.
Kötü amaçlı yazılım operatörleri, IP’leri döndürerek ve iç içe TLS katmanları için kullanılan 2024-2025 sertifikası gibi TLS sertifikalarını güncelleyerek kalıcı erişimi sürdürdü.
Kuruluşlar, Brickstorm saldırılarıyla ilişkili aşağıdaki eserleri izlemelidir:
Nviso, Brickstorm’un kaçınma taktiklerine karşı koymak için katmanlı savunmalar öneriyor:
- DOH sağlayıcılarını bloke: Ağ sınırlarında kamu DOH çözücülerine (örn. Quad9, Cloudflare) trafiği kısıtlayın.
- TLS muayenesi: Özellikle geçersiz sertifikaları veya tekrarlanan el sıkışmaları olanları, iç içe TLS oturumlarını tespit edebilen çözümleri dağıtın.
- Kimlik hijyeni: Tünelleme aktivitesine bağlı anormal SMB/RDP girişleri için çok faktörlü kimlik doğrulama ve monitör uygulayın.
- Tehdit avı: Şuradan yumurtlama işlemlerini arayın
CreatedUACExplorer.exeveya listelenen alanlara ve IP’lere bağlantılar.
PRC’nin ekonomik casusluk üzerine kalıcı odaklanması, ağ aletlerinin ve sunucusuz bulut trafiğinin sürekli izlenmesini gerektirir, bu da uzun vadeli izinsiz girişler için yararlanır.
İşbirlikçi savunmalar ve gerçek zamanlı istihbarat paylaşımı, bu tür ileri tehditleri azaltmak için kritik öneme sahiptir.
| Gösterge Türü | Değer |
|---|---|
| Dosya adı | CreatedUACExplorer.exe |
| Sha256 karma | b42159d68ba58d7857c091b5acc59e30e50a854b15f7ce04b61ff6c11cdf0156 |
| İlişkili alan | ms-azure.azdatastore.workers.dev |
| Dosya adı | CreateUACExplorer.exe |
| Sha256 karma | 42692bd13333623e9085d0c1326574a3391efcbf18158bb04972103c9ee4a3b8 |
| İlişkili alan | ms-azure.herokuapp.com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!