Ein weiterer BRICKSTORM: Heiml... Notiz

Ein weiterer BRICKSTORM: Heimliche Hintertür ermöglicht Spionage in Technologie- und Rechtssektoren

Die Google Threat Intelligence Group verfolgt umfangreiche Aktivitäten der BRICKSTORM-Malware, die von mutmaßlichen, China-nahen Bedrohungsclustern eingesetzt wird, um heimlichen, langfristigen Zugriff auf US-Organisationen zu erhalten. Diese Eindringversuche zielen hauptsächlich auf Rechtsdienstleister, SaaS-Anbieter, BPOs und Technologieunternehmen ab, wobei der Schwerpunkt auf Netzwerkgeräten liegt. Die Angreifer nutzen Zero-Day-Schwachstellen aus und setzen die in Go geschriebene BRICKSTORM-Backdoor ein, die darauf ausgelegt ist, herkömmliche EDR-Tools zu umgehen. Diese Malware ermöglicht unauffällige laterale Bewegungen und Datenexfiltration, was zu einer durchschnittlichen Verweildauer des Opfers von 393 Tagen führt. Der Lebenszyklus des Bedrohungsakteurs umfasst den anfänglichen Zugriff über kompromittierte Perimeter-Infrastrukturen, gefolgt von der Etablierung eines Standbeins durch den Einsatz von BRICKSTORM auf Geräten, insbesondere auf VMware vCenter und ESXi-Hosts. Sie eskalieren Berechtigungen durch die Installation bösartiger Komponenten wie BRICKSTEAL, die Anmeldeinformationen erfassen können, was ihnen ermöglicht, kritische virtuelle Maschinen für die Datenextraktion zu klonen. Laterale Bewegungen werden mithilfe legitimer Anmeldeinformationen erreicht, oft erleichtert durch die Aktivierung von SSH auf den Zielgeräten. Die Persistenz wird durch die Änderung von Startskripten aufrechterhalten, um sicherzustellen, dass BRICKSTORM beim Neustart automatisch gestartet wird. Die Erfüllung ihrer Mission beinhaltet oft den Zugriff auf einzelne E-Mail-Postfächer über Microsoft Entra ID Enterprise Applications und die Exfiltration von Daten mithilfe der SOCKS-Proxy-Funktionalität von BRICKSTORM.
CdXz5zHNQW_FhWlcjTBRZ.jpeg