ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) perşembe günü bir arka kapının ayrıntılarını yayınladı. Tuğla fırtınası Bu, Çin Halk Cumhuriyeti’ndeki (PRC) devlet destekli tehdit aktörleri tarafından, güvenliği ihlal edilmiş sistemlerde uzun vadeli kalıcılığı sürdürmek için kullanıldı.
Ajans, “BRICKSTORM, VMware vSphere ve Windows ortamları için gelişmiş bir arka kapıdır” dedi. “BRICKSTORM, siber tehdit aktörlerinin gizli erişimi sürdürmesine olanak tanır ve başlatma, kalıcılık ve güvenli komuta ve kontrol yetenekleri sağlar.”
Golang’da yazılan özel implant, esasen kötü aktörlere sistem üzerinde etkileşimli kabuk erişimi sağlar ve dosyalara göz atmalarına, yüklemelerine, indirmelerine, oluşturmalarına, silmelerine ve değiştirmelerine olanak tanır
Çoğunlukla hükümetleri ve bilgi teknolojisi (BT) sektörlerini hedef alan saldırılarda kullanılan kötü amaçlı yazılım, aynı zamanda komut ve kontrol (C2) için HTTPS, WebSockets ve iç içe Aktarım Katmanı Güvenliği (TLS), iletişimi gizlemek ve normal trafiğe uyum sağlamak için DNS-over-HTTPS (DoH) gibi birden fazla protokolü destekler ve yanal hareketi kolaylaştırmak için bir SOCKS proxy’si görevi görebilir.
Siber güvenlik kurumu, kaç devlet kurumunun etkilendiğini veya ne tür verilerin çalındığını açıklamadı. Faaliyet, ağları ve bulut altyapılarını ihlal etmek için uç ağ cihazlarına saldırmaya devam eden Çinli bilgisayar korsanlığı gruplarının devam eden taktiksel gelişimini temsil ediyor.
Reuters ile paylaşılan bir açıklamada Washington’daki Çin büyükelçiliği sözcüsü, Çin hükümetinin “siber saldırıları teşvik etmediğini, desteklemediğini veya göz yummadığını” belirterek suçlamaları reddetti.
BRICKSTORM, ilk kez 2024 yılında Google Mandiant tarafından Ivanti Connect Secure sıfır gün güvenlik açıklarının (CVE-2023-46805 ve CVE-2024-21887) sıfır gün istismarıyla bağlantılı saldırılarda belgelendi. Kötü amaçlı yazılımın kullanımı, UNC5221 olarak takip edilen iki kümeye ve CrowdStrike tarafından Warp Panda olarak takip edilen yeni bir Çin bağlantılı düşmana atfedildi.
Bu Eylül ayının başlarında, Mandiant ve Google Tehdit İstihbarat Grubu (GTIG), ABD’deki yasal hizmetlerin, hizmet olarak yazılım (SaaS) sağlayıcılarının, İş Süreci Dış Kaynak Sağlayıcılarının (BPO’lar) ve teknoloji sektörlerinin kötü amaçlı yazılımı dağıtmak için UNC5221 ve diğer yakından ilişkili tehdit faaliyet kümeleri tarafından hedef alındığını gözlemlediklerini söyledi.
CISA’ya göre kötü amaçlı yazılımın önemli bir özelliği, herhangi bir potansiyel kesinti karşısında çalışmaya devam etmesine olanak tanıyan kendi kendini izleme işlevi aracılığıyla kendini otomatik olarak yeniden yükleme veya yeniden başlatma yeteneğidir.
Nisan 2024’te tespit edilen bir vakada, tehdit aktörlerinin dahili bir VMware vCenter sunucusuna yanal olarak geçmeden ve BRICKSTORM’u yerleştirmeden önce bir kuruluşun askerden arındırılmış bölgesi (DMZ) içindeki bir web sunucusuna bir web kabuğu kullanarak eriştikleri söyleniyor. Ancak saldırıda kullanılan ilk erişim vektörü ve web kabuğunun ne zaman konuşlandırıldığı da dahil olmak üzere pek çok ayrıntı bilinmiyor.
Saldırganların ayrıca, hizmet hesabı kimlik bilgilerini elde etmek için erişimden yararlandıkları ve Active Directory bilgilerini ele geçirmek için Uzak Masaüstü Protokolü’nü (RDP) kullanarak yanal olarak DMZ’deki bir etki alanı denetleyicisine geçtikleri de tespit edildi. İzinsiz giriş sırasında tehdit aktörleri, yönetilen hizmet sağlayıcı (MSP) hesabının kimlik bilgilerini almayı başardılar ve bu hesap daha sonra dahili etki alanı denetleyicisinden VMware vCenter sunucusuna geçiş yapmak için kullanıldı.
CISA, aktörlerin ayrıca Sunucu Mesaj Bloğu (SMB) kullanarak web sunucusundan iki atlama sunucusuna ve bir Active Directory Federasyon Hizmetleri (ADFS) sunucusuna yanal olarak hareket ettiğini ve bu sunucudan kriptografik anahtarları sızdırdığını söyledi. VCenter’a erişim sonuçta düşmanın ayrıcalıklarını yükselttikten sonra BRICKSTORM’u dağıtmasına olanak sağladı.
“BRICKSTORM, bir SOCKS proxy’si kurmak, güvenliği ihlal edilmiş sistemde bir web sunucusu oluşturmak ve güvenliği ihlal edilmiş sistemde komutları yürütmek için özel işleyiciler kullanıyor” dedi ve bazı yapıtların “VM’ler arası etkinleştirmek için sanal bir soket (VSOCK) arayüzü kullanarak sanallaştırılmış ortamlarda çalışmak üzere tasarlandığını” ekledi. [virtual machine] iletişim, veri sızmasını kolaylaştırma ve kalıcılığı sürdürme.”
Warp Panda ABD Varlıklarına Karşı BRICKSTORM’u Kullanıyor
CrowdStrike, Warp Panda analizinde, bu yıl ABD merkezli hukuk, teknoloji ve üretim kuruluşlarındaki VMware vCenter ortamlarını hedef alan ve BRICKSTORM’un konuşlandırılmasına yol açan çok sayıda izinsiz giriş tespit ettiğini söyledi. Grubun en az 2022’den beri aktif olduğuna inanılıyor.
Şirket, “Warp Panda, yüksek düzeyde teknik gelişmişlik, gelişmiş operasyon güvenliği (OPSEC) becerileri ve bulut ve sanal makine (VM) ortamlarına ilişkin kapsamlı bilgi sergiliyor” dedi. “Warp Panda yüksek düzeyde gizlilik sergiliyor ve neredeyse kesinlikle güvenliği ihlal edilmiş ağlara kalıcı, uzun vadeli, gizli erişimi sürdürmeye odaklanıyor.”
Kanıtlar, bilgisayar korsanlığı grubunun 2023’ün sonlarında tek bir varlığa ilk erişim elde ettiğini gösteriyor. Saldırılarda BRICKSTORM’un yanı sıra sırasıyla ESXi ana bilgisayarlarında ve konuk VM’lerde daha önce belgelenmemiş iki Golang implantı (Junction ve GuestConduit) da kullanıldı.
Junction, gelen istekleri dinlemek için bir HTTP sunucusu görevi görür ve komutları yürütmek, proxy ağ trafiğini yürütmek ve VM soketleri (VSOCK) aracılığıyla konuk VM’lerle etkileşime geçmek için çok çeşitli yetenekleri destekler. Öte yandan GuestConduit, konuk VM’de bulunan ve 5555 numaralı bağlantı noktasında bir VSOCK dinleyicisi oluşturan bir ağ trafiği tünelleme implantıdır. Başlıca sorumluluğu, konuk VM’ler ile hipervizörler arasındaki iletişimi kolaylaştırmaktır.
İlk erişim yöntemleri, geçerli kimlik bilgileri kullanarak veya vCenter güvenlik açıklarını kötüye kullanarak vCenter ortamlarına geçiş yapmak için internete bakan uç cihazların kötüye kullanılmasını içerir. Yanal hareket, SSH ve ayrıcalıklı vCenter yönetim hesabı “vpxuser” kullanılarak gerçekleştirilir. Bilgisayar korsanlığı ekibi, verileri ana bilgisayarlar arasında taşımak için Güvenli Dosya Aktarım Protokolünü (SFTP) de kullandı.
İstismar edilen güvenlik açıklarından bazıları aşağıda listelenmiştir:
Tüm işleyiş şekli, günlükleri temizleyerek, dosyaları zaman damgalayarak ve kullanımdan sonra kapatılan hileli VM’ler oluşturarak gizliliğin korunması etrafında döner. İyi huylu vCenter işlemleri gibi görünen BRICKSTORM, vCenter sunucuları, ESXi ana bilgisayarları ve konuk VM’ler aracılığıyla trafiği tünellemek için kullanılır.
CISA tarafından paylaşılan ayrıntılara benzer şekilde CrowdStrike, saldırganların vCenter sunucularına erişimlerini, muhtemelen Active Directory Etki Alanı Hizmetleri veritabanını toplamak amacıyla etki alanı denetleyicisi VM’lerini klonlamak için kullandıklarını belirtti. Tehdit aktörlerinin Çin hükümetinin çıkarlarıyla uyumlu alanlarda çalışan çalışanların e-posta hesaplarına da eriştiği görüldü.
Şirket, “Warp Panda büyük ihtimalle ele geçirilen ağlardan birine erişimlerini bir Asya Pasifik hükümet kuruluşuna karşı ilkel keşif yapmak için kullandı” dedi. “Ayrıca çeşitli siber güvenlik bloglarına ve Mandarin dilindeki GitHub deposuna da bağlandılar.”
Warp Panda’nın faaliyetlerinin bir diğer önemli yönü de bulut ortamlarında kalıcılık sağlamaya ve hassas verilere erişmeye odaklanmasıdır. CrowdStrike, kendisini “bulut bilincine sahip bir düşman” olarak nitelendirerek, saldırganların OneDrive, SharePoint ve Exchange’de depolanan verilere erişmek için kuruluşların Microsoft Azure ortamlarına erişimlerini istismar ettiğini söyledi.
En az bir olayda bilgisayar korsanları, bir oturum yeniden oynatma saldırısı yoluyla Microsoft 365 hizmetlerine erişmek ve kuruluşun ağ mühendisliği ve olay müdahale ekipleriyle ilgili SharePoint dosyalarını indirmek için muhtemelen kullanıcı tarayıcı dosyalarını ve BRICKSTORM implantları aracılığıyla tünellenmiş trafiği sızdırarak kullanıcı oturum belirteçlerini ele geçirmeyi başardılar.
Saldırganlar ayrıca, bir kullanıcı hesabında ilk kez oturum açtıktan sonra Authenticator uygulama kodu aracılığıyla yeni bir çok faktörlü kimlik doğrulama (MFA) cihazını kaydetmek gibi kalıcılığı ayarlamak için ek yöntemler de kullandı. Başka bir izinsiz girişte, hizmet sorumlularını, uygulamaları, kullanıcıları, dizin rollerini ve e-postaları numaralandırmak için Microsoft Graph API kullanıldı.
CrowdStrike, “Düşman öncelikle Kuzey Amerika’daki varlıkları hedef alıyor ve tehlikeye atılmış ağlara sürekli, gizli erişimi sürdürüyor, bu da muhtemelen ÇHC’nin stratejik çıkarlarıyla uyumlu istihbarat toplama çabalarını destekliyor.” dedi.