Siber Güvenlik ve Altyapı Güvenliği Ajansı, Çin devleti destekli siber operasyonlarla bağlantılı gelişmiş bir arka kapı olan BRICKSTORM hakkında bir kötü amaçlı yazılım analiz raporu yayınladı.
Aralık 2025’te yayımlanan ve Ocak 2026’ya kadar güncellenen rapor, VMware vSphere platformlarını, özellikle vCenter sunucularını ve ESXi ortamlarını hedef alan bu tehdidi tanımlıyor.
Devlet hizmetleri ve bilgi teknolojisi sektörlerindeki kuruluşlar bu saldırılara karşı en yüksek riskle karşı karşıyadır.
BRICKSTORM ciddi bir tehdit oluşturuyor çünkü saldırganların güvenliği ihlal edilmiş sistemlere tespit edilmeden uzun vadeli erişim sağlamalarına olanak tanıyor.
Kötü amaçlı yazılım öncelikle sanallaştırılmış ortamları etkiler; tehdit aktörleri hassas verileri çalarken, sanal makineleri klonlarken ve ağlar arasında yanal olarak hareket ederken gizli kalabilir.
BRICKSTORM kurulduktan sonra arka planda sessizce çalışır ve kaldırıldığında kendini otomatik olarak yeniden kurar.
Rapor, kurban kuruluşlarda keşfedilen on bir kötü amaçlı yazılım örneğini inceliyor. Sekiz örnek Go programlama dili kullanılarak oluşturulmuşken, daha yeni üç değişken Rust kullanıyor.
CISA analistleri, tehdit aktörlerinin Nisan 2024’ten Eylül 2025’e kadar mağdur bir kuruluşa sürekli erişim sağladığı bir olay müdahale araştırması sırasında BRICKSTORM’u tespit etti.
Bu güvenlik ihlali sırasında saldırganlar, etki alanı denetleyicilerine erişti ve şifreleme anahtarlarını dışarı aktarmak için bir Active Directory Federasyon Hizmetleri sunucusunun güvenliğini ihlal etti.
Enfeksiyon ve Kalıcılık Mekanizmaları
BRICKSTORM, askerden arındırılmış bölgelerde bulunan güvenliği ihlal edilmiş web sunucuları aracılığıyla ilk erişimi elde ediyor.
Saldırganlar, çalınan hizmet hesabı kimlik bilgilerini ve Uzak Masaüstü Protokolü bağlantılarını kullanarak ağlar arasında yatay olarak hareket ettikten sonra kötü amaçlı yazılımı VMware vCenter sunucularına yüklüyor.
.webp)
Kötü amaçlı yazılım kendisini /etc/sysconfig/ gibi sistem dizinlerine yükler ve sistem başlatılırken çalıştırılacak başlatma komut dosyalarını değiştirir.
Arka kapı, BRICKSTORM’un aktif kalıp kalmadığını sürekli olarak doğrulayan yerleşik kendi kendini izleme yetenekleri aracılığıyla kalıcılığı korur.
Kötü amaçlı yazılım, çalışmasının durdurulduğunu algılarsa, otomatik olarak yeniden yüklenir ve önceden tanımlanmış dosya yollarından kendisini yeniden başlatır.
Bu kendi kendini iyileştirme mekanizması, güvenlik ekipleri kaldırmaya çalışsa bile saldırganların erişimi sürdürmesini sağlar.
BRICKSTORM, Cloudflare, Google ve Quad9’un meşru genel çözümleyicileri aracılığıyla HTTPS üzerinden DNS kullanarak komut ve kontrol sunucularına şifreli bağlantılar kurar.
Bu teknik, normal şifreli iletişimlerdeki kötü amaçlı trafiği gizler. Kötü amaçlı yazılım, WebSocket oturumlarını birden fazla iç içe geçmiş şifreleme katmanıyla güvenli hale getirmek için ilk HTTPS bağlantılarını yükseltir.
.webp)
Saldırganlar bu bağlantılar aracılığıyla etkileşimli komut satırı erişimi elde eder, dosya sistemlerine göz atar, dosyaları yükler ve indirir ve yanal hareket için SOCKS proxy’leri kurar.
Tespit ve kaldırma çabalarını desteklemek için CISA, BRICKSTORM örneklerini tanımlamak için özel olarak tasarlanmış altı YARA kuralı ve bir Sigma kuralı yayınladı.
Bu tespit imzaları, farklı kötü amaçlı yazılım türlerinde bulunan benzersiz kod modellerini ve davranışsal özellikleri hedefler.
CISA, kuruluşları tüm BRICKSTORM tespitlerini derhal raporlamaya ve VMware vSphere sunucularını yükseltmek, ağ bölümlendirmeyi uygulamak ve yetkisiz HTTPS üzerinden DNS sağlayıcılarını engellemek de dahil olmak üzere önerilen azaltıcı önlemleri uygulamaya çağırıyor.
Dahası, yanal hareket, ÇHC devlet destekli siber aktörlerin web sunucusundan etki alanı denetleyicileri aracılığıyla VMware vCenter sunucusuna doğru ilerleyişini gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
