Очередной BRICKSTORM: скрытый ... Заметка
RSS Блог об облаках

Очередной BRICKSTORM: скрытый бэкдор, обеспечивающий шпионаж в технологическом и юридическом секторах

Группа Google Threat Intelligence отслеживает обширную активность вредоносного ПО BRICKSTORM, используемого предполагаемыми угрожающими кластерами, связанными с Китаем, для поддержания скрытого, долгосрочного доступа к организациям США. Эти вторжения в основном нацелены на юридические услуги, поставщиков SaaS, BPO и технологические компании, с акцентом на сетевые устройства. Злоумышленники используют уязвимости нулевого дня и развертывают бэкдор BRICKSTORM, написанный на Go, предназначенный для обхода традиционных инструментов EDR. Это вредоносное ПО позволяет незаметно перемещаться по сети и осуществлять утечку данных, что способствует среднему времени пребывания жертвы в сети в течение 393 дней. Жизненный цикл злоумышленника включает в себя первоначальный доступ через скомпрометированную периферийную инфраструктуру, за которым следует закрепление позиций путем развертывания BRICKSTORM на устройствах, в частности, на хостах VMware vCenter и ESXi. Они повышают привилегии, устанавливая вредоносные компоненты, такие как BRICKSTEAL, которые могут захватывать учетные данные, что позволяет им клонировать критически важные виртуальные машины для извлечения данных. Перемещение по сети осуществляется с использованием законных учетных данных, часто с помощью включения SSH на целевых устройствах. Сохранение доступа обеспечивается путем изменения сценариев запуска, чтобы гарантировать автоматический запуск BRICKSTORM при перезагрузке. Завершение их миссии часто включает в себя доступ к отдельным почтовым ящикам электронной почты через корпоративные приложения Microsoft Entra ID и утечку данных с использованием функциональности прокси-сервера SOCKS BRICKSTORM.
CdXz5zHNQW_FhWlcjTBRZ.jpeg