Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng Hoa Kỳ (CISA) vào thứ Năm đã công bố thông tin chi tiết về một backdoor có tên BRICKSTORM, được các tác nhân đe dọa do nhà nước Cộng hòa Nhân dân Trung Hoa (PRC) bảo trợ sử dụng để duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập.
"BRICKSTORM là một backdoor tinh vi dành cho môi trường VMware vSphere và Windows," cơ quan này cho biết. "BRICKSTORM cho phép các tác nhân đe dọa mạng duy trì quyền truy cập lén lút và cung cấp các khả năng để khởi tạo, duy trì và kiểm soát lệnh & điều khiển (command-and-control) an toàn."
Được viết bằng Golang, implant tùy chỉnh này về cơ bản cung cấp cho các tác nhân độc hại quyền truy cập shell tương tác trên hệ thống và cho phép họ duyệt, tải lên, tải xuống, tạo, xóa và thao tác với các tệp.
Phần mềm độc hại này, chủ yếu được sử dụng trong các cuộc tấn công nhắm vào các chính phủ và các ngành công nghệ thông tin (IT), cũng hỗ trợ nhiều giao thức như HTTPS, WebSockets và Transport Layer Security (TLS) lồng ghép, cho command-and-control (C2), DNS-over-HTTPS (DoH) để che giấu liên lạc và hòa trộn với lưu lượng truy cập thông thường, đồng thời có thể hoạt động như một SOCKS proxy để tạo điều kiện thuận lợi cho sự di chuyển ngang (lateral movement).
Cơ quan an ninh mạng không tiết lộ có bao nhiêu cơ quan chính phủ đã bị ảnh hưởng hoặc loại dữ liệu nào đã bị đánh cắp. Hoạt động này thể hiện một sự phát triển chiến thuật liên tục của các nhóm tin tặc Trung Quốc, những nhóm đã và đang tiếp tục tấn công các thiết bị mạng biên để xâm nhập mạng lưới và cơ sở hạ tầng đám mây.
Trong một tuyên bố gửi Reuters, một phát ngôn viên của đại sứ quán Trung Quốc tại Washington đã bác bỏ các cáo buộc, nói rằng chính phủ Trung Quốc không "khuyến khích, hỗ trợ hay dung túng các cuộc tấn công mạng."
BRICKSTORM lần đầu tiên được ghi nhận bởi Google Mandiant vào năm 2024 trong các cuộc tấn công liên quan đến việc khai thác các lỗ hổng zero-day của Ivanti Connect Secure (CVE-2023-46805 và CVE-2024-21887). Việc sử dụng phần mềm độc hại này đã được quy cho hai nhóm được theo dõi là UNC5221 và một đối thủ mới có liên hệ với Trung Quốc được CrowdStrike theo dõi dưới tên Warp Panda.
Đầu tháng 9 này, Mandiant và Google Threat Intelligence Group (GTIG) cho biết họ đã quan sát thấy các dịch vụ pháp lý, nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), các nhà cung cấp dịch vụ thuê ngoài quy trình kinh doanh (BPOs) và các lĩnh vực công nghệ ở Hoa Kỳ bị nhắm mục tiêu bởi UNC5221 và các nhóm hoạt động đe dọa liên quan chặt chẽ khác để phân phối phần mềm độc hại.
Một tính năng chính của phần mềm độc hại, theo CISA, là khả năng tự động cài đặt lại hoặc khởi động lại bằng chức năng tự giám sát, cho phép nó tiếp tục hoạt động khi gặp bất kỳ sự gián đoạn tiềm ẩn nào.
Trong một trường hợp được phát hiện vào tháng 4 năm 2024, các tác nhân đe dọa được cho là đã truy cập vào một máy chủ web bên trong vùng DMZ (demilitarized zone) của tổ chức bằng cách sử dụng một web shell, trước khi di chuyển ngang sang một máy chủ VMware vCenter nội bộ và cài đặt BRICKSTORM. Tuy nhiên, nhiều chi tiết vẫn chưa được biết, bao gồm vector truy cập ban đầu được sử dụng trong cuộc tấn công và thời điểm web shell được triển khai.
Những kẻ tấn công cũng được phát hiện đã tận dụng quyền truy cập để lấy thông tin đăng nhập tài khoản dịch vụ và di chuyển ngang sang bộ điều khiển miền trong DMZ bằng cách sử dụng Remote Desktop Protocol (RDP) để thu thập thông tin Active Directory. Trong quá trình xâm nhập, các tác nhân đe dọa đã lấy được thông tin đăng nhập cho tài khoản nhà cung cấp dịch vụ được quản lý (MSP), sau đó được sử dụng để chuyển từ bộ điều khiển miền nội bộ sang máy chủ VMware vCenter.
CISA cho biết các tác nhân cũng đã di chuyển ngang từ máy chủ web bằng Server Message Block (SMB) đến hai jump server và một máy chủ Active Directory Federation Services (ADFS), đánh cắp các khóa mật mã từ máy chủ sau. Quyền truy cập vào vCenter cuối cùng đã cho phép đối thủ triển khai BRICKSTORM sau khi nâng cao đặc quyền của họ.
"BRICKSTORM sử dụng các handler tùy chỉnh để thiết lập một SOCKS proxy, tạo một máy chủ web trên hệ thống bị xâm nhập và thực thi các lệnh trên hệ thống bị xâm nhập," báo cáo cho biết, đồng thời bổ sung rằng một số thành phần "được thiết kế để hoạt động trong môi trường ảo hóa, sử dụng giao diện virtual socket (VSOCK) để cho phép giao tiếp giữa các VM [virtual machine], tạo điều kiện cho việc đánh cắp dữ liệu và duy trì sự tồn tại lâu dài."
Warp Panda Sử Dụng BRICKSTORM Chống Lại Các Thực Thể Ở Hoa Kỳ
CrowdStrike, trong phân tích của mình về Warp Panda, cho biết họ đã phát hiện nhiều cuộc xâm nhập nhắm vào môi trường VMware vCenter tại các thực thể pháp lý, công nghệ và sản xuất của Hoa Kỳ trong năm nay, dẫn đến việc triển khai BRICKSTORM. Nhóm này được cho là đã hoạt động từ ít nhất năm 2022.
"Warp Panda thể hiện trình độ kỹ thuật cao, kỹ năng OPSEC (operations security) tiên tiến và kiến thức sâu rộng về môi trường đám mây và máy ảo (VM)," công ty cho biết. "Warp Panda thể hiện mức độ tàng hình cao và gần như chắc chắn tập trung vào việc duy trì quyền truy cập bí mật, lâu dài vào các mạng bị xâm nhập."
Bằng chứng cho thấy nhóm tin tặc đã giành quyền truy cập ban đầu vào một thực thể vào cuối năm 2023. Ngoài BRICKSTORM, trong các cuộc tấn công còn triển khai hai implant Golang chưa từng được ghi nhận trước đây, đó là Junction và GuestConduit, trên các ESXi host và guest VM tương ứng.
Junction hoạt động như một máy chủ HTTP để lắng nghe các yêu cầu đến và hỗ trợ nhiều khả năng để thực thi lệnh, ủy quyền lưu lượng mạng và tương tác với các guest VM thông qua VM sockets (VSOCK). GuestConduit, mặt khác, là một implant tunnel lưu lượng mạng nằm bên trong một guest VM và thiết lập một VSOCK listener trên cổng 5555. Trách nhiệm chính của nó là tạo điều kiện giao tiếp giữa các guest VM và hypervisor.
Các phương pháp truy cập ban đầu bao gồm việc khai thác các thiết bị biên hướng ra internet để chuyển hướng đến môi trường vCenter, bằng cách sử dụng thông tin đăng nhập hợp lệ hoặc lạm dụng các lỗ hổng vCenter. Di chuyển ngang được thực hiện bằng cách sử dụng SSH và tài khoản quản lý vCenter có đặc quyền "vpxuser". Nhóm tin tặc cũng đã sử dụng Secure File Transfer Protocol (SFTP) để di chuyển dữ liệu giữa các host.
Một số lỗ hổng đã bị khai thác được liệt kê dưới đây:
- CVE-2024-21887 (Ivanti Connect Secure)
- CVE-2023-46805 (Ivanti Connect Secure)
- CVE-2024-38812 (VMware vCenter)
- CVE-2023-34048 (VMware vCenter)
- CVE-2021-22005 (VMware vCenter)
- CVE-2023-46747 (F5 BIG-IP)
Toàn bộ phương thức hoạt động xoay quanh việc duy trì sự tàng hình bằng cách xóa nhật ký, thay đổi dấu thời gian (timestomping) các tệp và tạo các VM giả mạo được tắt sau khi sử dụng. BRICKSTORM, giả dạng các tiến trình vCenter lành tính, được sử dụng để tạo tunnel lưu lượng truy cập qua các máy chủ vCenter, ESXi host và guest VM.
Tương tự như các chi tiết được CISA chia sẻ, CrowdStrike lưu ý rằng những kẻ tấn công đã sử dụng quyền truy cập vào các máy chủ vCenter để nhân bản các VM của bộ điều khiển miền, có thể nhằm mục đích thu thập cơ sở dữ liệu Active Directory Domain Services. Các tác nhân đe dọa cũng đã được phát hiện truy cập vào tài khoản email của nhân viên làm việc trong các lĩnh vực phù hợp với lợi ích của chính phủ Trung Quốc.
"Warp Panda có khả năng đã sử dụng quyền truy cập vào một trong các mạng bị xâm nhập để tiến hành trinh sát cơ bản đối với một thực thể chính phủ ở khu vực Châu Á - Thái Bình Dương," công ty cho biết. "Họ cũng kết nối với nhiều blog an ninh mạng và một kho lưu trữ GitHub bằng tiếng Quan Thoại."
Một khía cạnh quan trọng khác trong các hoạt động của Warp Panda là việc họ tập trung vào việc thiết lập sự tồn tại lâu dài trong môi trường đám mây và truy cập dữ liệu nhạy cảm. Mô tả đây là một "đối thủ nhận thức về đám mây" (cloud-conscious adversary), CrowdStrike cho biết những kẻ tấn công đã khai thác quyền truy cập vào môi trường Microsoft Azure của các thực thể để truy cập dữ liệu được lưu trữ trong OneDrive, SharePoint và Exchange.
Trong ít nhất một sự cố, các tin tặc đã chiếm được các user session tokens, có thể bằng cách đánh cắp các tệp trình duyệt của người dùng và tạo tunnel lưu lượng truy cập thông qua các implant BRICKSTORM để truy cập các dịch vụ Microsoft 365 thông qua tấn công session replay và tải xuống các tệp SharePoint liên quan đến các nhóm kỹ thuật mạng và ứng phó sự cố của tổ chức.
Những kẻ tấn công cũng đã tham gia vào các cách bổ sung để thiết lập sự tồn tại lâu dài, chẳng hạn như bằng cách đăng ký một thiết bị multi-factor authentication (MFA) mới thông qua mã ứng dụng Authenticator sau khi đăng nhập ban đầu vào tài khoản người dùng. Trong một cuộc xâm nhập khác, Microsoft Graph API đã được sử dụng để liệt kê các service principals, ứng dụng, người dùng, directory roles và email.
"Đối thủ chủ yếu nhắm mục tiêu vào các thực thể ở Bắc Mỹ và liên tục duy trì quyền truy cập bí mật, lâu dài vào các mạng bị xâm nhập, có khả năng để hỗ trợ các nỗ lực thu thập thông tin tình báo phù hợp với lợi ích chiến lược của PRC," CrowdStrike cho biết.
