Агентство по кибербезопасности и защите инфраструктуры США (CISA) в минувший четверг выпустило официальный отчет об обнаружении сложного бэкдора под названием BRICKSTORM. За разработкой и внедрением этого вредоносного программного обеспечения стоят спонсируемые государством хакерские группировки из Китайской Народной Республики (КНР). Основной целью злоумышленников является поддержание длительного и скрытного присутствия в скомпрометированных американских системах для проведения шпионажа и хищения данных. Операции характеризуются высокой технической сложностью и глубоким пониманием облачных и виртуализированных сред.
Вредоносная программа BRICKSTORM написана на языке Golang и специально разработана для работы в средах VMware vSphere и Windows. Бэкдор предоставляет злоумышленникам доступ к интерактивной оболочке и позволяет осуществлять манипуляции с файлами, включая их просмотр, загрузку, создание и удаление. Для маскировки вредоносное ПО выдает себя за легитимные процессы vCenter. Одной из ключевых особенностей является функция самосохранения: программа постоянно отслеживает свое состояние и автоматически переустанавливается или перезапускается в случае сбоя или попытки удаления.
Сетевая инфраструктура BRICKSTORM использует передовые методы скрытия активности. Коммуникация с командными серверами (C2) осуществляется через HTTPS, WebSockets и вложенный протокол Transport Layer Security (TLS). Для маскировки трафика применяется технология DNS-over-HTTPS (DoH). Вредонос также действует как SOCKS-прокси для горизонтального перемещения внутри сети и использует интерфейс виртуальных сокетов (VSOCK) для обмена данными между виртуальными машинами и эксфильтрации информации в виртуализированных средах.
Эксперты атрибутируют данные атаки двум основным кластерам угроз, связанным с КНР. Google Mandiant отслеживает активность под идентификатором UNC5221, в то время как CrowdStrike использует название Warp Panda. Группировки активны как минимум с 2022 года и характеризуются как «противник, ориентированный на облачные технологии» (cloud-conscious adversary). Их мотивация заключается в сборе разведывательной информации, соответствующей стратегическим интересам КНР.
Хронология инцидентов указывает на начало активности Warp Panda в 2022 году. В конце 2023 года были зафиксированы первые доказательства получения первоначального доступа к одной из целевых организаций. В 2024 году Google Mandiant впервые задокументировал BRICKSTORM, а в апреле того же года была обнаружена атака, распространившаяся с веб-сервера в DMZ на внутренний сервер VMware vCenter. В сентябре 2024 года Mandiant и Google Threat Intelligence Group (GTIG) опубликовали отчеты о нацеливании UNC5221 на юридический и технологический секторы. В текущем году CrowdStrike выявила множественные вторжения в организации США.
География атак сосредоточена преимущественно в Северной Америке, однако также была зафиксирована элементарная разведка в отношении государственного учреждения в Азиатско-Тихоокеанском регионе. Жертвами становятся правительственные структуры, сектор информационных технологий, юридические фирмы, SaaS-провайдеры, аутсорсинговые компании (BPO) и производственные предприятия. Для первоначального доступа хакеры эксплуатируют уязвимости в пограничных устройствах Ivanti и F5, используют валидные учетные данные и злоупотребляют уязвимостями vCenter.
Методология атак включает развертывание веб-шеллов на серверах DMZ и использование протоколов RDP, SMB, SSH и SFTP для бокового перемещения. Злоумышленники захватывают учетные записи поставщиков управляемых услуг (MSP) и сервисные аккаунты. Для повышения привилегий используется управляющая учетная запись vCenter «vpxuser». В ходе операций хакеры похищают криптографические ключи с серверов Active Directory Federation Services (ADFS) и клонируют виртуальные машины контроллеров домена для сбора базы данных Active Directory Domain Services. Для скрытия следов применяются методы «timestomping» (изменение временных меток файлов), очистка журналов и создание «бродячих виртуальных машин» (rogue VMs), которые отключаются после использования.
Особое внимание уделяется эксплуатации облачных сред Microsoft Azure, OneDrive, SharePoint и Exchange. Злоумышленники эксфильтруют файлы браузеров пользователей для кражи токенов сеансов и проводят атаки повторного воспроизведения сеансов для доступа к службам Microsoft 365 через туннели BRICKSTORM. С помощью Microsoft Graph API проводится перечисление субъектов служб, пользователей и ролей. Для обеспечения постоянства доступа регистрируются новые устройства многофакторной аутентификации (MFA) через коды приложения Authenticator. Приоритетной целью являются файлы, относящиеся к группам сетевой инженерии и реагирования на инциденты.
Помимо основного бэкдора, атакующие используют дополнительные импланты. Программа Junction, написанная на Golang, разворачивается на хостах ESXi и функционирует как HTTP-сервер, выполняя команды и проксируя трафик через VSOCK. Другой инструмент, GuestConduit, представляет собой имплант для туннелирования сетевого трафика, который размещается внутри гостевых виртуальных машин. Он устанавливает прослушиватель VSOCK на порту 5555 для обеспечения связи между гостем и гипервизором.
Для реализации атак активно эксплуатируются известные уязвимости (CVE). В продуктах Ivanti Connect Secure используются CVE-2024-21887 и CVE-2023-46805. В среде VMware vCenter злоумышленники применяют эксплойты для CVE-2024-38812, CVE-2023-34048 и CVE-2021-22005. Также зафиксирована эксплуатация уязвимости CVE-2023-46747 в решениях F5 BIG-IP. Совокупность этих инструментов и методов позволяет хакерам обходить традиционные средства защиты и длительное время оставаться незамеченными в критически важных сетях.
Изображение носит иллюстративный характер
Вредоносная программа BRICKSTORM написана на языке Golang и специально разработана для работы в средах VMware vSphere и Windows. Бэкдор предоставляет злоумышленникам доступ к интерактивной оболочке и позволяет осуществлять манипуляции с файлами, включая их просмотр, загрузку, создание и удаление. Для маскировки вредоносное ПО выдает себя за легитимные процессы vCenter. Одной из ключевых особенностей является функция самосохранения: программа постоянно отслеживает свое состояние и автоматически переустанавливается или перезапускается в случае сбоя или попытки удаления.
Сетевая инфраструктура BRICKSTORM использует передовые методы скрытия активности. Коммуникация с командными серверами (C2) осуществляется через HTTPS, WebSockets и вложенный протокол Transport Layer Security (TLS). Для маскировки трафика применяется технология DNS-over-HTTPS (DoH). Вредонос также действует как SOCKS-прокси для горизонтального перемещения внутри сети и использует интерфейс виртуальных сокетов (VSOCK) для обмена данными между виртуальными машинами и эксфильтрации информации в виртуализированных средах.
Эксперты атрибутируют данные атаки двум основным кластерам угроз, связанным с КНР. Google Mandiant отслеживает активность под идентификатором UNC5221, в то время как CrowdStrike использует название Warp Panda. Группировки активны как минимум с 2022 года и характеризуются как «противник, ориентированный на облачные технологии» (cloud-conscious adversary). Их мотивация заключается в сборе разведывательной информации, соответствующей стратегическим интересам КНР.
Хронология инцидентов указывает на начало активности Warp Panda в 2022 году. В конце 2023 года были зафиксированы первые доказательства получения первоначального доступа к одной из целевых организаций. В 2024 году Google Mandiant впервые задокументировал BRICKSTORM, а в апреле того же года была обнаружена атака, распространившаяся с веб-сервера в DMZ на внутренний сервер VMware vCenter. В сентябре 2024 года Mandiant и Google Threat Intelligence Group (GTIG) опубликовали отчеты о нацеливании UNC5221 на юридический и технологический секторы. В текущем году CrowdStrike выявила множественные вторжения в организации США.
География атак сосредоточена преимущественно в Северной Америке, однако также была зафиксирована элементарная разведка в отношении государственного учреждения в Азиатско-Тихоокеанском регионе. Жертвами становятся правительственные структуры, сектор информационных технологий, юридические фирмы, SaaS-провайдеры, аутсорсинговые компании (BPO) и производственные предприятия. Для первоначального доступа хакеры эксплуатируют уязвимости в пограничных устройствах Ivanti и F5, используют валидные учетные данные и злоупотребляют уязвимостями vCenter.
Методология атак включает развертывание веб-шеллов на серверах DMZ и использование протоколов RDP, SMB, SSH и SFTP для бокового перемещения. Злоумышленники захватывают учетные записи поставщиков управляемых услуг (MSP) и сервисные аккаунты. Для повышения привилегий используется управляющая учетная запись vCenter «vpxuser». В ходе операций хакеры похищают криптографические ключи с серверов Active Directory Federation Services (ADFS) и клонируют виртуальные машины контроллеров домена для сбора базы данных Active Directory Domain Services. Для скрытия следов применяются методы «timestomping» (изменение временных меток файлов), очистка журналов и создание «бродячих виртуальных машин» (rogue VMs), которые отключаются после использования.
Особое внимание уделяется эксплуатации облачных сред Microsoft Azure, OneDrive, SharePoint и Exchange. Злоумышленники эксфильтруют файлы браузеров пользователей для кражи токенов сеансов и проводят атаки повторного воспроизведения сеансов для доступа к службам Microsoft 365 через туннели BRICKSTORM. С помощью Microsoft Graph API проводится перечисление субъектов служб, пользователей и ролей. Для обеспечения постоянства доступа регистрируются новые устройства многофакторной аутентификации (MFA) через коды приложения Authenticator. Приоритетной целью являются файлы, относящиеся к группам сетевой инженерии и реагирования на инциденты.
Помимо основного бэкдора, атакующие используют дополнительные импланты. Программа Junction, написанная на Golang, разворачивается на хостах ESXi и функционирует как HTTP-сервер, выполняя команды и проксируя трафик через VSOCK. Другой инструмент, GuestConduit, представляет собой имплант для туннелирования сетевого трафика, который размещается внутри гостевых виртуальных машин. Он устанавливает прослушиватель VSOCK на порту 5555 для обеспечения связи между гостем и гипервизором.
Для реализации атак активно эксплуатируются известные уязвимости (CVE). В продуктах Ivanti Connect Secure используются CVE-2024-21887 и CVE-2023-46805. В среде VMware vCenter злоумышленники применяют эксплойты для CVE-2024-38812, CVE-2023-34048 и CVE-2021-22005. Также зафиксирована эксплуатация уязвимости CVE-2023-46747 в решениях F5 BIG-IP. Совокупность этих инструментов и методов позволяет хакерам обходить традиционные средства защиты и длительное время оставаться незамеченными в критически важных сетях.
