Кибершпионская группа UNC5221, предположительно связанная с Китаем, проводит долгосрочную и тщательно скрываемую кампанию против ключевых секторов экономики США. Злоумышленники в среднем 393 дня остаются незамеченными в скомпрометированных сетях, используя этот период для кражи интеллектуальной собственности и конфиденциальных данных. Основной целью атак является получение постоянного доступа к инфраструктуре жертв для сбора информации, касающейся национальной безопасности и международной торговли.
В качестве целей UNC5221 выбирает компании из сферы юридических услуг, поставщиков программного обеспечения как услуги (SaaS), аутсорсеров бизнес-процессов (BPO) и технологического сектора. Атакуя SaaS-провайдеров, группа стремится получить доступ не только к их данным, но и к данным их клиентов. Особый интерес для хакеров представляет электронная почта ключевых сотрудников, таких как разработчики и системные администраторы, а также лиц, чья деятельность совпадает с государственными интересами Китая.
Основным инструментом группы является бэкдор BRICKSTORM, написанный на языке программирования Go. Впервые он был задокументирован в 2023 году, однако его применение против систем на базе Windows в Европе отслеживается как минимум с ноября 2022 года. Вредоносное ПО функционирует как веб-сервер, способный выполнять операции с файловой системой, загружать и скачивать файлы, исполнять шелл-команды и работать в качестве SOCKS-прокси для туннелирования трафика. Для связи с командным сервером (C2) BRICKSTORM использует протокол WebSockets.
Для повышения привилегий в системе злоумышленники применяют дополнительный инструмент — BRICKSTEAL. Это вредоносный фильтр сервлетов Java для сервера Apache Tomcat, предназначенный для перехвата учетных данных VMware vCenter. Ключевая особенность BRICKSTEAL заключается в его скрытности: он изменяет конфигурацию сервера исключительно в оперативной памяти, что позволяет избежать перезагрузки и не оставляет следов в конфигурационных файлах на диске.
Начальный доступ к сетям жертв UNC5221 получает путем эксплуатации уязвимостей нулевого дня в устройствах Ivanti Connect Secure, в частности CVE-2023-46805 и CVE-2024-21887. После проникновения группа развертывает бэкдор BRICKSTORM на устройствах под управлением операционных систем Linux и BSD, которые часто не имеют полноценных средств защиты конечных точек (EDR).
После закрепления в сети злоумышленники используют украденные с помощью BRICKSTEAL учетные данные для доступа к инфраструктуре VMware. Их тактика включает клонирование критически важных виртуальных машин, таких как контроллеры домена, серверы единого входа (SSO) и хранилища секретов. Этот метод позволяет похищать большие объемы данных, генерируя при этом минимальное количество оповещений для систем безопасности.
Для обеспечения постоянного присутствия в скомпрометированной системе группа модифицирует файлы автозагрузки, такие как init.d, или systemd. Это гарантирует запуск бэкдора BRICKSTORM после каждой перезагрузки устройства. Отмечены случаи, когда злоумышленники развертывали новые версии вредоносного ПО на сервере VMware vCenter уже после начала реагирования на инцидент со стороны службы безопасности.
Главная тактика уклонения от обнаружения, применяемая UNC5221, заключается в целенаправленных атаках на инфраструктурные компоненты, не охваченные EDR-решениями. Такой подход, в сочетании с использованием легитимных учетных данных для перемещения по сети, делает их действия практически невидимыми для стандартных средств мониторинга.
Правительство США отмечает совпадения в тактиках UNC5221 с известными группировками, такими как APT27 (также известная как Emissary Panda), Silk Typhoon и UTA0178. Однако аналитики Google Threat Intelligence Group (GTIG) рассматривают UNC5221 и APT27 как два отдельных кластера из-за недостаточного количества доказательств их прямой связи.
Расследованием деятельности группы занимаются специалисты Mandiant (подразделение Google Cloud) и GTIG. Согласно отчету, опубликованному в The Hacker News, Чарльз Кармакал, технический директор Mandiant Consulting в Google Cloud, подчеркивает высокий уровень подготовки и скрытности группы. Для противодействия угрозе Google разработала специальный сканер на основе шелл-скрипта, который помогает организациям обнаруживать следы BRICKSTORM на системах Linux и BSD. Рекомендуется проводить активный поиск бэкдоров на всех устройствах, не защищенных EDR.
Изображение носит иллюстративный характер
В качестве целей UNC5221 выбирает компании из сферы юридических услуг, поставщиков программного обеспечения как услуги (SaaS), аутсорсеров бизнес-процессов (BPO) и технологического сектора. Атакуя SaaS-провайдеров, группа стремится получить доступ не только к их данным, но и к данным их клиентов. Особый интерес для хакеров представляет электронная почта ключевых сотрудников, таких как разработчики и системные администраторы, а также лиц, чья деятельность совпадает с государственными интересами Китая.
Основным инструментом группы является бэкдор BRICKSTORM, написанный на языке программирования Go. Впервые он был задокументирован в 2023 году, однако его применение против систем на базе Windows в Европе отслеживается как минимум с ноября 2022 года. Вредоносное ПО функционирует как веб-сервер, способный выполнять операции с файловой системой, загружать и скачивать файлы, исполнять шелл-команды и работать в качестве SOCKS-прокси для туннелирования трафика. Для связи с командным сервером (C2) BRICKSTORM использует протокол WebSockets.
Для повышения привилегий в системе злоумышленники применяют дополнительный инструмент — BRICKSTEAL. Это вредоносный фильтр сервлетов Java для сервера Apache Tomcat, предназначенный для перехвата учетных данных VMware vCenter. Ключевая особенность BRICKSTEAL заключается в его скрытности: он изменяет конфигурацию сервера исключительно в оперативной памяти, что позволяет избежать перезагрузки и не оставляет следов в конфигурационных файлах на диске.
Начальный доступ к сетям жертв UNC5221 получает путем эксплуатации уязвимостей нулевого дня в устройствах Ivanti Connect Secure, в частности CVE-2023-46805 и CVE-2024-21887. После проникновения группа развертывает бэкдор BRICKSTORM на устройствах под управлением операционных систем Linux и BSD, которые часто не имеют полноценных средств защиты конечных точек (EDR).
После закрепления в сети злоумышленники используют украденные с помощью BRICKSTEAL учетные данные для доступа к инфраструктуре VMware. Их тактика включает клонирование критически важных виртуальных машин, таких как контроллеры домена, серверы единого входа (SSO) и хранилища секретов. Этот метод позволяет похищать большие объемы данных, генерируя при этом минимальное количество оповещений для систем безопасности.
Для обеспечения постоянного присутствия в скомпрометированной системе группа модифицирует файлы автозагрузки, такие как init.d, или systemd. Это гарантирует запуск бэкдора BRICKSTORM после каждой перезагрузки устройства. Отмечены случаи, когда злоумышленники развертывали новые версии вредоносного ПО на сервере VMware vCenter уже после начала реагирования на инцидент со стороны службы безопасности.
Главная тактика уклонения от обнаружения, применяемая UNC5221, заключается в целенаправленных атаках на инфраструктурные компоненты, не охваченные EDR-решениями. Такой подход, в сочетании с использованием легитимных учетных данных для перемещения по сети, делает их действия практически невидимыми для стандартных средств мониторинга.
Правительство США отмечает совпадения в тактиках UNC5221 с известными группировками, такими как APT27 (также известная как Emissary Panda), Silk Typhoon и UTA0178. Однако аналитики Google Threat Intelligence Group (GTIG) рассматривают UNC5221 и APT27 как два отдельных кластера из-за недостаточного количества доказательств их прямой связи.
Расследованием деятельности группы занимаются специалисты Mandiant (подразделение Google Cloud) и GTIG. Согласно отчету, опубликованному в The Hacker News, Чарльз Кармакал, технический директор Mandiant Consulting в Google Cloud, подчеркивает высокий уровень подготовки и скрытности группы. Для противодействия угрозе Google разработала специальный сканер на основе шелл-скрипта, который помогает организациям обнаруживать следы BRICKSTORM на системах Linux и BSD. Рекомендуется проводить активный поиск бэкдоров на всех устройствах, не защищенных EDR.
