Yasal hizmetler, hizmet olarak yazılım (SAAS) sağlayıcıları, iş süreci dış kaynak kullanıcıları (BPO’lar) ve ABD’deki teknoloji sektörlerindeki şirketler, şüpheli bir Çin-nexus siber casusluk grubu tarafından hedeflendi. Tuğla fırtınası.
Maniant ve Google Tehdit İstihbarat Grubu’na (GTIG), Hacker News ile paylaşılan yeni bir raporda, UNC5221 ve yakından ilişkili, şüpheli, şüpheli Çin-Nexus tehdit kümelerine atfedilen faaliyet, bir yılı aşkın bir süredir mağdur kuruluşlara kalıcı erişimi kolaylaştırmak için tasarlanmıştır.
SaaS sağlayıcılarını hedefleyen tuğla fırtınası amacının, aşağı yönlü müşteri ortamlarına veya SaaS sağlayıcılarının müşterileri adına ev sahipliği yapmak olduğu değerlendirilirken, ABD yasal ve teknolojik kürelerinin hedeflenmesinin, ulusal güvenlik ve uluslararası ticaretle ilgili bilgileri toplamak ve Zero-Bay’ın geliştirilmesini geliştirmek için fikri mülkiyet çalma girişimidir.
Brickstorm ilk olarak geçen yıl teknoloji devi tarafından Ivanti Connect Secure Zero-Day güvenlik açıklarının (CVE-2023-46805 ve CVE-2024-21887) sıfır gün sömürüsü ile bağlantılı olarak belgelendi. Ayrıca en az Kasım 2022’den beri Avrupa’daki Windows ortamlarını hedeflemek için de kullanılmıştır.
GO tabanlı bir arka kapı, Brickstorm kendini bir web sunucusu olarak ayarlamak, dosya sistemi ve dizin manipülasyonu gerçekleştirmek, yükleme/indirme, kabuk komutları yürütme ve çorap rölesi gibi hareket etme özellikleri ile birlikte gelir. WebSockets kullanarak bir komut ve kontrol (C2) sunucusu ile iletişim kurar.
Bu yılın başlarında ABD hükümeti, Çin’e uyumlu tehdit kümesinin APT27 (diğer adıyla Emissary Panda) olarak izlenen ipek tayfun, UNC5221 ve UTA0178 ile örtüştüğünü kaydetti. Ancak GTIG, Hacker News’e, bağlantıyı onaylamak için kendi başına yeterli kanıt bulunmadığını ve onlara iki küme olarak davrandığını söyledi.
GTIG, “Bu müdahaleler, geleneksel uç nokta algılama ve yanıt (EDR) araçlarını desteklemeyen cihazlara backdoors dağıtarak uzun vadeli gizli erişimi sürdürmeye odaklanarak yürütülüyor.” Dedi.
“Aktör, Güvenlik Telemetrisi’ni minimal olarak üreten yanal hareket ve veri hırsızlığı için yöntemler kullanıyor. Bu, Brickstorm Backdoor’da modifikasyonlarla birleştiğinde, ortalama 393 gün boyunca kurban ortamlarında tespit edilmemelerini sağladı.”
En az bir durumda, tehdit aktörlerinin Ivanti Connect Secure Edge cihazlarında yukarıda belirtilen güvenlik kusurlarından yararlandığı ve birden fazla üreticiden Linux ve BSD tabanlı cihazlarda tuğla fırtınası elde etmek için kullandıkları söyleniyor.
Kötü amaçlı yazılımın aktif geliştirme altında olduğunu gösteren kanıtlar vardır, bir örnek, C2 sunucusuyla temas kurmadan önce gelecekte sabit kodlanmış bir tarih ayını bekleyen bir “gecikme” zamanlayıcısına sahiptir. Google, Brickstorm varyantının, hedeflenen kuruluşun olay müdahale çabalarına başladıktan sonra, korsanlık grubunun kalıcılığı korumak için çevikliğini gösterdikten sonra dahili bir VMware vCenter sunucusuna dağıtıldığını söyledi.
Saldırılar ayrıca, ayrıcalık artışı için vCenter kimlik bilgilerini yakalamak için Bricksteal olarak adlandırılan Apache Tomcat sunucusu için kötü amaçlı bir Java Servlet filtresi kullanımı ile karakterize edilir ve daha sonra anahtar için Clone Windows Server VM’leri anahtar için klona kullanır.
Etki alanı denetleyicileri, SSO kimlik sağlayıcıları ve gizli tonozlar gibi sistemler.
Google, “Normalde bir filtre yüklemek, bir yapılandırma dosyasının değiştirilmesini ve uygulamayı yeniden başlatmayı veya yeniden yüklemeyi gerektirir; ancak aktör, değişiklikleri tamamen bellekte yapan özel bir damlalık kullandı, bu da çok gizli hale getirdi ve yeniden başlatma ihtiyacını ortadan kaldırdı.” Dedi.
Ayrıca, tehdit aktörlerinin yanal hareketin VMware altyapısına dönmesi için geçerli kimlik bilgilerinden yararlandığı ve arka kapının cihaz yeniden başlatmasında otomatik olarak başlatıldığından emin olmak için init.d, rc.local veya systemd dosyalarını değiştirerek kalıcılık oluşturduğu bulunmuştur.
Kampanyanın temel amacı, geliştiriciler, sistem yöneticileri ve Çin’in ekonomik ve casusluk çıkarlarına uygun konularda yer alan kişiler de dahil olmak üzere mağdur kuruluşlar içindeki kilit bireylerin e -postalarına erişmektir. Brickstorm’un Socks Proxy özelliği, bir tünel oluşturmak ve saldırganların ilgisini çeken uygulamalara doğrudan erişmek için kullanılır.
Google ayrıca, potansiyel kurbanların, kötü amaçlı yazılımların bilinen imzalarıyla eşleşen dosyaları işaretleyerek Linux ve BSD tabanlı cihazlar ve sistemler üzerindeki tuğlastorm etkinliğinden etkilenip etkilemediklerini anlamaları için bir kabuk komut dosyası tarayıcısı geliştirdi.
Google Cloud’daki Mantiant Consulting CTO’su Charles Carmakal, “Brickstorm kampanyası, sofistike olmasından, gelişmiş kurumsal güvenlik savunmalarının kaçınması ve yüksek değerli hedeflere odaklanması nedeniyle önemli bir tehdidi temsil ediyor.” Dedi.
“UNC5221 tarafından elde edilen erişim, tehlikeye atılan SaaS sağlayıcılarının aşağı yönlü müşterilerine dönmelerini veya gelecekteki saldırılar için kullanılabilecek işletme teknolojilerindeki sıfır gün güvenlik açıklarını keşfetmelerini sağlıyor. Kuruluşları, uç nokta tespiti ve yanıt (EDR) kapsamı (EDR) bulunmayan sistemlerinde ikamet edebilecek diğer backrodları avlamaya teşvik ediyoruz.”