Blog de nuage RSS
Suivre
Un autre BRICKSTORM : Une porte dérobée furtive permettant l'espionnage dans les secteurs technologiques et juridiques
Google Threat Intelligence Group suit une activité importante du malware BRICKSTORM, utilisé par des groupes de menaces soupçonnés d'être liés à la Chine pour maintenir un accès furtif et à long terme aux organisations américaines. Ces intrusions ciblent principalement les services juridiques, les fournisseurs de SaaS, les BPO et les entreprises technologiques, en se concentrant sur les appliances réseau. Les attaquants exploitent des vulnérabilités zero-day et déploient la porte dérobée BRICKSTORM écrite en Go, conçue pour contourner les outils EDR traditionnels. Ce malware permet un mouvement latéral discret et une exfiltration de données, contribuant à un temps de présence moyen des victimes de 393 jours. Le cycle de vie de l'acteur de la menace implique un accès initial par le biais d'une infrastructure périmétrique compromise, suivi de l'établissement d'une base en déployant BRICKSTORM sur les appliances, en particulier VMware vCenter et les hôtes ESXi. Ils élèvent les privilèges en installant des composants malveillants comme BRICKSTEAL, qui peut capturer des informations d'identification, leur permettant de cloner des machines virtuelles critiques pour l'extraction de données. Le mouvement latéral est réalisé à l'aide d'informations d'identification légitimes, souvent facilité par l'activation de SSH sur les appliances ciblées. La persistance est maintenue en modifiant les scripts de démarrage pour garantir que BRICKSTORM se lance automatiquement au redémarrage. L'achèvement de leur mission implique souvent l'accès aux boîtes aux lettres individuelles par le biais des applications d'entreprise Microsoft Entra ID et l'exfiltration de données à l'aide de la fonctionnalité de proxy SOCKS de BRICKSTORM.