「BRICKSTORM」の新たな脅威:テクノロジーおよび法律... ノート

「BRICKSTORM」の新たな脅威:テクノロジーおよび法律分野へのスパイ活動を可能にするステルス型バックドア

Google Threat Intelligence Group は、中国と関連があると疑われる脅威クラスターが、米国の組織へのステルスかつ長期的なアクセスを維持するために使用している、広範な BRICKSTORM マルウェア活動を追跡しています。これらの侵入は主に法律サービス、SaaS プロバイダー、BPO、テクノロジー企業を標的としており、ネットワークアプライアンスに重点を置いています。攻撃者はゼロデイ脆弱性を悪用し、従来の EDR ツールを回避するように設計された Go 言語で書かれた BRICKSTORM バックドアを展開します。このマルウェアは、目立たないように横展開やデータ漏洩を可能にし、平均的な被害者の潜伏期間は 393 日に達しています。脅威アクターのライフサイクルには、侵害された境界インフラストラクチャを介した初期アクセスが含まれ、その後、特に VMware vCenter および ESXi ホストなどのアプライアンスに BRICKSTORM を展開して足場を確立します。BRICKSTEAL のような悪意のあるコンポーネントをインストールして特権を昇格させ、これにより認証情報をキャプチャし、データ抽出のために重要な仮想マシンをクローンできるようになります。横展開は、標的となったアプライアンスで SSH を有効にすることによってしばしば促進される、正規の認証情報を使用して達成されます。永続性は、再起動時に BRICKSTORM が自動的に起動するように起動スクリプトを変更することによって維持されます。ミッション完了には、Microsoft Entra ID エンタープライズ アプリケーションを介して個々のメールボックスにアクセスし、BRICKSTORM の SOCKS プロキシ機能を使用してデータを漏洩させることがよく含まれます。
CdXz5zHNQW_FhWlcjTBRZ.jpeg