58 lượt xem
Agent Nguyễn
Cập nhật: 7 ngày trước
Nguồn: Automation
UNC5221 Sử Dụng Backdoor BRICKSTORM Để Xâm Nhập Các Ngành Pháp Lý và Công Nghệ Hoa Kỳ
Các công ty trong lĩnh vực dịch vụ pháp lý, nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), các công ty gia công quy trình kinh doanh (BPO) và công nghệ tại Hoa Kỳ đã bị một nhóm gián điệp mạng nghi có liên hệ với Trung Quốc nhắm mục tiêu để triển khai một backdoor đã biết có tên là BRICKSTORM. Hoạt động này, được gán cho UNC5221 và các nhóm tấn công mạng nghi có liên hệ chặt chẽ với Trung Quốc khác, được thiết kế để tạo điều kiện.
Các công ty trong lĩnh vực dịch vụ pháp lý, nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), các công ty gia công quy trình kinh doanh (BPO) và công nghệ tại Hoa Kỳ đã bị một nhóm gián điệp mạng nghi có liên hệ với Trung Quốc nhắm mục tiêu để triển khai một backdoor đã biết có tên là BRICKSTORM.
Hoạt động này, được gán cho UNC5221 và các nhóm tấn công mạng nghi có liên hệ chặt chẽ với Trung Quốc khác, được thiết kế để tạo điều kiện truy cập liên tục vào các tổ chức nạn nhân trong hơn một năm, Mandiant và Google Threat Intelligence Group (GTIG) cho biết trong một báo cáo mới được chia sẻ với The Hacker News.
Mục tiêu của BRICKSTORM khi nhắm vào các nhà cung cấp SaaS được đánh giá là để giành quyền truy cập vào môi trường của khách hàng hạ nguồn hoặc dữ liệu mà các nhà cung cấp SaaS lưu trữ thay mặt khách hàng của họ, trong khi việc nhắm mục tiêu vào lĩnh vực pháp lý và công nghệ của Hoa Kỳ có thể là một nỗ lực để thu thập thông tin liên quan đến an ninh quốc gia và thương mại quốc tế, cũng như đánh cắp sở hữu trí tuệ để thúc đẩy việc phát triển các zero-day exploits.
BRICKSTORM lần đầu tiên được ghi nhận bởi gã khổng lồ công nghệ vào năm ngoái liên quan đến việc khai thác zero-day các lỗ hổng bảo mật Ivanti Connect Secure zero-day (CVE-2023-46805 và CVE-2024-21887). Nó cũng đã được sử dụng để nhắm mục tiêu vào các Windows environments ở Châu Âu kể từ ít nhất là tháng 11 năm 2022.
Là một backdoor dựa trên Go, BRICKSTORM được trang bị các khả năng để tự thiết lập thành một máy chủ web, thực hiện thao tác trên hệ thống file và thư mục, thực hiện các hoạt động file như upload/download, thực thi các shell commands và hoạt động như một SOCKS relay. Nó giao tiếp với máy chủ command-and-control (C2) bằng cách sử dụng WebSockets.
Đầu năm nay, chính phủ Hoa Kỳ lưu ý rằng nhóm tấn công mạng liên kết với Trung Quốc được theo dõi là APT27 (còn gọi là Emissary Panda) có sự chồng chéo với Silk Typhoon, UNC5221 và UTA0178. Tuy nhiên, GTIG đã nói với The Hacker News vào thời điểm đó rằng họ không có đủ bằng chứng riêng để xác nhận liên kết này và đang coi chúng là hai thực thể riêng biệt.
"Những vụ xâm nhập này được thực hiện với trọng tâm đặc biệt là duy trì quyền truy cập bí mật lâu dài bằng cách triển khai các backdoors trên các thiết bị không hỗ trợ các công cụ endpoint detection and response (EDR) truyền thống," GTIG cho biết, đồng thời nói thêm rằng họ đã phản ứng với một số vụ xâm nhập kể từ tháng 3 năm 2025.
"Kẻ tấn công sử dụng các phương pháp di chuyển ngang (lateral movement) và đánh cắp dữ liệu tạo ra rất ít hoặc không có dữ liệu telemetry bảo mật. Điều này, cùng với các sửa đổi đối với backdoor BRICKSTORM, đã cho phép chúng không bị phát hiện trong môi trường nạn nhân trung bình 393 ngày."
Trong ít nhất một trường hợp, các tác nhân đe dọa được cho là đã khai thác các lỗ hổng bảo mật nói trên trong các thiết bị Ivanti Connect Secure edge để có quyền truy cập ban đầu và thả BRICKSTORM. Nhưng thời gian lưu trú kéo dài và nỗ lực của tác nhân đe dọa nhằm xóa dấu vết hoạt động của chúng đã khiến việc xác định vector truy cập ban đầu được sử dụng trong các trường hợp khác để phân phối phần mềm độc hại trên các thiết bị Linux và BSD-based từ nhiều nhà sản xuất trở nên khó khăn.
Có bằng chứng cho thấy phần mềm độc hại đang được phát triển tích cực, với một mẫu có tính năng hẹn giờ "delay" chờ một ngày được mã hóa cứng trong tương lai vài tháng trước khi bắt đầu liên hệ với máy chủ C2 của nó. Biến thể BRICKSTORM, Google cho biết, đã được triển khai trên một máy chủ VMware vCenter nội bộ sau khi tổ chức bị nhắm mục tiêu đã bắt đầu nỗ lực ứng phó sự cố của mình, cho thấy sự nhanh nhẹn của nhóm tấn công trong việc duy trì persistence.
Các cuộc tấn công cũng được đặc trưng bởi việc sử dụng một malicious Java Servlet filter cho máy chủ Apache Tomcat có tên BRICKSTEAL để thu thập vCenter credentials cho privilege escalation, sau đó sử dụng nó để clone các Windows Server VMs cho các hệ thống quan trọng như Domain Controllers, SSO Identity Providers và secret vaults.
"Thông thường, việc cài đặt một filter yêu cầu sửa đổi một file cấu hình và khởi động lại hoặc tải lại ứng dụng; tuy nhiên, kẻ tấn công đã sử dụng một custom dropper đã thực hiện các sửa đổi hoàn toàn trong bộ nhớ, khiến nó rất stealthy và loại bỏ nhu cầu khởi động lại," Google cho biết.
Hơn nữa, các tác nhân đe dọa đã được phát hiện tận dụng valid credentials để lateral movement để chuyển sang hạ tầng VMware và thiết lập persistence bằng cách sửa đổi các file init.d, rc.local hoặc systemd để đảm bảo rằng backdoor tự động được khởi động lại trên thiết bị. Một phương pháp khác liên quan đến việc triển khai một web shell JavaServer Pages (JSP) được gọi là SLAYSTYLE (còn gọi là BEEFLUSH) để nhận và thực thi các arbitrary operating system commands được truyền qua một HTTP request.
Mục tiêu chính của chiến dịch là truy cập email của các cá nhân chủ chốt trong các thực thể nạn nhân, bao gồm các developers, system administrators và các cá nhân liên quan đến các vấn đề phù hợp với lợi ích kinh tế và gián điệp của Trung Quốc. Tính năng SOCKS proxy của BRICKSTORM được sử dụng để tạo một tunnel và truy cập trực tiếp các ứng dụng được coi là mục tiêu của kẻ tấn công.
Google cho biết họ đã phát triển một shell script scanner dành cho các nạn nhân tiềm năng để tìm hiểu xem họ có bị ảnh hưởng bởi hoạt động BRICKSTORM trên các thiết bị và hệ thống Linux và BSD-based hay không. Công cụ này hoạt động bằng cách gắn cờ các file khớp với các signature đã biết của phần mềm độc hại. Tuy nhiên, nó không đảm bảo phát hiện nhiễm trùng trong tất cả các trường hợp hoặc quét các indicators of compromise (IoCs) khác.
"Chiến dịch BRICKSTORM đại diện cho một mối đe dọa đáng kể do sự tinh vi của nó, khả năng né tránh các biện pháp phòng thủ bảo mật doanh nghiệp tiên tiến và tập trung vào các mục tiêu có giá trị cao," Charles Carmakal, CTO của Mandiant Consulting tại Google Cloud, cho biết trong một tuyên bố được chia sẻ với The Hacker News.
"Quyền truy cập do UNC5221 có được cho phép chúng chuyển sang các khách hàng hạ nguồn của các nhà cung cấp SaaS bị xâm nhập hoặc khám phá các zero-day vulnerabilities trong các công nghệ doanh nghiệp, những thứ có thể được sử dụng cho các cuộc tấn công trong tương lai. Chúng tôi khuyến khích các tổ chức săn lùng BRICKSTORM và các backdoors khác có thể tồn tại trên hệ thống của họ không có vùng phủ sóng endpoint detection and response (EDR)."
