RSS 클라우드 블로그
팔로우
또 다른 BRICKSTORM: 기술 및 법률 분야를 대상으로 한 은밀한 백도어, 스파이 활동 가능케 해
구글 위협 인텔리전스 그룹은 중국 연계 위협 그룹이 미국 조직에 대한 은밀하고 장기적인 접근을 유지하기 위해 사용하는 광범위한 BRICKSTORM 멀웨어 활동을 추적하고 있습니다. 이러한 침입은 주로 법률 서비스, SaaS 제공업체, BPO 및 기술 회사를 대상으로 하며, 네트워크 어플라이언스에 초점을 맞춥니다. 공격자는 제로데이 취약점을 악용하고, 기존 EDR 도구를 우회하도록 설계된 Go로 작성된 BRICKSTORM 백도어를 배포합니다. 이 멀웨어는 눈에 띄지 않게 측면 이동 및 데이터 유출을 허용하며, 평균 피해자 체류 시간 393일에 기여합니다. 위협 행위자 라이프사이클은 손상된 주변 인프라를 통한 초기 접근으로 시작하여, VMware vCenter 및 ESXi 호스트와 같은 어플라이언스에 BRICKSTORM을 배포하여 발판을 마련합니다. 그들은 자격 증명을 캡처할 수 있는 BRICKSTEAL과 같은 악성 구성 요소를 설치하여 권한을 상승시키고, 이를 통해 데이터 추출을 위해 중요한 가상 머신을 복제할 수 있습니다. 측면 이동은 합법적인 자격 증명을 사용하여 수행되며, 종종 대상 어플라이언스에서 SSH를 활성화하여 용이하게 합니다. 지속성은 재부팅 시 BRICKSTORM이 자동으로 실행되도록 시작 스크립트를 수정하여 유지됩니다. 그들의 임무 완수는 종종 Microsoft Entra ID Enterprise Applications를 통해 개별 이메일 사서함에 접근하고 BRICKSTORM의 SOCKS 프록시 기능을 사용하여 데이터를 유출하는 것을 포함합니다.