또 다른 BRICKSTORM: 기술 및 법률 분야를 대... 노트

또 다른 BRICKSTORM: 기술 및 법률 분야를 대상으로 한 은밀한 백도어, 스파이 활동 가능케 해

구글 위협 인텔리전스 그룹은 중국 연계 위협 그룹이 미국 조직에 대한 은밀하고 장기적인 접근을 유지하기 위해 사용하는 광범위한 BRICKSTORM 멀웨어 활동을 추적하고 있습니다. 이러한 침입은 주로 법률 서비스, SaaS 제공업체, BPO 및 기술 회사를 대상으로 하며, 네트워크 어플라이언스에 초점을 맞춥니다. 공격자는 제로데이 취약점을 악용하고, 기존 EDR 도구를 우회하도록 설계된 Go로 작성된 BRICKSTORM 백도어를 배포합니다. 이 멀웨어는 눈에 띄지 않게 측면 이동 및 데이터 유출을 허용하며, 평균 피해자 체류 시간 393일에 기여합니다. 위협 행위자 라이프사이클은 손상된 주변 인프라를 통한 초기 접근으로 시작하여, VMware vCenter 및 ESXi 호스트와 같은 어플라이언스에 BRICKSTORM을 배포하여 발판을 마련합니다. 그들은 자격 증명을 캡처할 수 있는 BRICKSTEAL과 같은 악성 구성 요소를 설치하여 권한을 상승시키고, 이를 통해 데이터 추출을 위해 중요한 가상 머신을 복제할 수 있습니다. 측면 이동은 합법적인 자격 증명을 사용하여 수행되며, 종종 대상 어플라이언스에서 SSH를 활성화하여 용이하게 합니다. 지속성은 재부팅 시 BRICKSTORM이 자동으로 실행되도록 시작 스크립트를 수정하여 유지됩니다. 그들의 임무 완수는 종종 Microsoft Entra ID Enterprise Applications를 통해 개별 이메일 사서함에 접근하고 BRICKSTORM의 SOCKS 프록시 기능을 사용하여 데이터를 유출하는 것을 포함합니다.
CdXz5zHNQW_FhWlcjTBRZ.jpeg