ABD ve Kanada siber güvenlik kurumları, Çin sponsorluğundaki tehdit aktörlerinin VMware vSphere ortamlarını tehlikeye atmak için BRICKSTORM kötü amaçlı yazılımını kullandığı konusunda uyarıyor.
CISA, NSA ve Kanada Siber Güvenlik Merkezi, danışma belgesinde şu uyarıda bulundu: “Bir kez ele geçirildikten sonra, siber aktörler, kimlik bilgilerinin çıkarılması için klonlanmış sanal makine (VM) anlık görüntülerini çalmak ve gizli, hileli VM’ler oluşturmak için vCenter yönetim konsoluna erişimlerini kullanabilirler.”
Ajanslar, saldırıların şu ana kadar öncelikle hükümeti ve BT sektörlerini hedef aldığını söyledi.
Bir PRC BRICKSTORM Kötü Amaçlı Yazılım Saldırısı Bir Yıldan Fazla Sürdü
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı CISA, mağdur kuruluşlardan elde edilen sekiz BRICKSTORM örneğini analiz ettiğini söyledi; bunlardan biri CISA’nın olay müdahale çalışması yürüttüğü yerdi. Ajans, analiz edilen örneklerin VMware vSphere ortamları için olduğunu ancak kötü amaçlı yazılımın Windows sürümlerinin de bulunduğunu söyledi.
Olaya müdahale durumunda CISA, Çin Halk Cumhuriyeti (PRC) sponsorluğundaki tehdit aktörlerinin Nisan 2024’te kuruluşun ağına “uzun vadeli kalıcı erişim” elde ettiğini ve BRICKSTORM kötü amaçlı yazılımını bir VMware vCenter sunucusuna yüklediğini söyledi. Tehdit aktörleri ayrıca iki etki alanı denetleyicisine ve bir Active Directory Federasyon Hizmetleri (ADFS) sunucusuna erişerek ADFS sunucusunu başarıyla ele geçirdi ve şifreleme anahtarlarını dışarı aktardı.
Teşkilat, tehdit aktörlerinin “en az 3 Eylül 2025’e kadar” kalıcı erişim için BRICKSTORM kötü amaçlı yazılımını kullandığını söyledi.
BRICKSTORM, Yürütülebilir ve Bağlanabilir Format (ELF) Go tabanlı bir arka kapıdır. Kurumlar, örneklerin işlevleri açısından farklılık gösterse de, “hepsi siber aktörlerin gizli erişimi sürdürmesine ve başlatma, kalıcılık ve güvenli komuta ve kontrol (C2) yetenekleri sağlamasına olanak tanıyor” dedi.
BRICKSTORM kesintiye uğrarsa otomatik olarak yeniden yükleyebilir veya yeniden başlatabilir. HTTPS üzerinden DNS (DoH) kullanıyor ve “iletişimlerini yasal trafikle harmanlamak için” web sunucusu işlevini taklit ediyor.
Kötü amaçlı yazılım, tehdit aktörlerine sistem üzerinde etkileşimli kabuk erişimi sağlıyor ve onların “dosyalara göz atmasına, yüklemesine, indirmesine, oluşturmasına, silmesine ve değiştirmesine” olanak tanıyor. Kötü amaçlı yazılım örneklerinden bazıları, yanal hareketi kolaylaştırmak ve ek sistemleri tehlikeye atmak için bir SOCKS proxy’si görevi görür.
PRC Hackerları Web Sunucusu Aracılığıyla Erişim Sağladı
CISA, olaya müdahale kapsamında PRC bilgisayar korsanlarının 11 Nisan 2024’te örgütün askerden arındırılmış bölgesi (DMZ) içindeki bir web sunucusuna eriştiğini söyledi. Tehdit aktörleri bu sunucuya, sunucuda bulunan bir web kabuğu aracılığıyla erişti.
CISA, “Olay verileri, web sunucusuna ilk erişimi nasıl elde ettiklerini veya web kabuğunun ne zaman yerleştirildiğini göstermiyor” dedi.
Aynı gün, bilgisayar korsanları, Uzak Masaüstü Protokolü’nü (RDP) kullanarak DMZ’deki bir etki alanı denetleyicisine yanal olarak geçmek için hizmet hesabı kimlik bilgilerini kullandılar ve burada Active Directory (AD) veritabanını (ntds.dit) kopyaladılar.
Ertesi gün, bilgisayar korsanları, RDP’yi ve ikinci bir hizmet hesabındaki kimlik bilgilerini kullanarak web sunucusundan dahili ağ içindeki bir etki alanı denetleyicisine yanal olarak geçti. CISA, “Kimlik bilgilerini nasıl elde ettikleri bilinmiyor” dedi. Bilgisayar korsanları AD veritabanını kopyaladı ve yönetilen servis sağlayıcı (MSP) hesabının kimlik bilgilerini ele geçirdi. Bilgisayar korsanları, MSP kimlik bilgilerini kullanarak dahili etki alanı denetleyicisinden VMware vCenter sunucusuna geçti.
PRC korsanları ayrıca Web sunucusundan Sunucu Mesaj Bloğu’nu (SMB) kullanarak iki atlama sunucusuna ve bir ADFS sunucusuna geçerek kriptografik anahtarları çaldılar.
Bilgisayar korsanları, vCenter’a erişim sağladıktan sonra sudo komutunu kullanarak ayrıcalıkları yükseltti, BRICKSTORM kötü amaçlı yazılımını sunucunun /etc/sysconfig/ dizinine bıraktı ve kötü amaçlı yazılımı çalıştırmak için /etc/sysconfig/ dizinindeki sistemin başlangıç dosyasını değiştirdi.
CISA, değiştirilen başlangıç dosyasının VMware vSphere sistemlerinde önyükleme işlemini kontrol ettiğini ve BRICKSTORM’u çalıştırdığını söyledi. Dosya genellikle önyükleme işlemi için görsel değişkenleri tanımlamak için kullanılır. Bilgisayar korsanları, BRICKSTORM’u /etc/sysconfig/ sabit kodlu dosya yolundan çalıştırmak için betiğe ek bir satır ekledi.
CISA, NSA ve Kanada Siber Merkezi, kuruluşları BRICKSTORM kötü amaçlı yazılım örneklerini tespit etmek için uzun raporlarında güvenlik ihlali göstergelerini (IOC’ler) ve tespit imzalarını kullanmaya çağırdı.
CISA ayrıca kuruluşların yetkisiz HTTPS üzerinden DNS (DoH) sağlayıcılarını ve harici DoH ağ trafiğini engellemesini önerdi; tüm ağ uç cihazlarının envanterini çıkarın ve şüpheli ağ bağlantısını izleyin ve DMZ’den dahili ağa giden ağ trafiğini kısıtlamak için ağ bölümlendirmeyi kullanın.