中国网络间谍利用Brickstorm后门长期潜伏美国关键网络

美国网络安全机构与谷歌等安全公司警告,与中国有关的网络间谍组织利用名为Brickstorm的复杂后门,长期渗透并潜伏于美国关键基础设施网络,感染VMware等系统并窃取数据,受影响组织达数十家。

PRC间谍通过Brickstorm后门潜入美国关键网络并隐藏数年

根据美国政府机构和私人安全公司于周四发布的警告,与中国有关的网络间谍长期(有时长达数年)维持对美国关键网络的访问权限,并利用这些权限感染计算机恶意软件和窃取数据。

根据美国网络安全和基础设施安全局、美国国家安全局和加拿大网络安全中心的联合安全警报,与中国有关的网络攻击者使用Brickstorm后门感染了至少八个政府服务机构和IT组织。

然而,CISA负责网络安全的执行助理主任尼克·安德森在周四告诉记者,“这是一个符合逻辑的结论,即在我们尚未有机会沟通之前,假设还存在其他受害者。”他将Brickstorm描述为“一个极其复杂的恶意软件片段”。

该后门可在Linux、VMware和Windows环境中运行。安德森拒绝将这些恶意软件感染归因于某个特定的中华人民共和国网络组织,但他表示,这说明了与中国有关的组织对美国关键基础设施构成的威胁。

“国家支持的行为者不仅仅是渗透网络,”安德森说。“他们正在嵌入自身,以实现长期访问、破坏和潜在的蓄意破坏。”

在CISA处理的一起事件中,与PRC有关的攻击者于2024年4月获得了某组织内部网络的访问权限,将Brickstorm上传到内部VMware vCenter服务器,并利用此后门维持持久访问,直至至少9月3日。

在受害者网络期间,该组织还获得了两个域控制器和一个Active Directory联合身份验证服务服务器的访问权限,并利用这些窃取了加密密钥。

谷歌威胁情报小组在9月的报告中首次对Brickstorm发出警报,其“强烈”建议各组织运行谷歌旗下Mandiant在GitHub上发布的开源扫描程序,以帮助检测其设备上的后门。

谷歌威胁情报小组首席分析师奥斯汀·拉森告诉《The Register》:“我们认为美国有数十家组织受到了Brickstorm的影响,这还不包括下游受害者。这些攻击者在我们的9月报告发布后,仍在积极针对美国组织,并且正在改进Brickstorm及其技术。”

谷歌的Mandiant事件响应团队自3月份以来一直在处理这些入侵事件,并在其早前的报告中将其归因于UNC5221,一个疑似与中国有关的组织。

拉森说:“Mandiant应对了多个行业垂直领域的入侵事件,特别是法律服务、软件即服务提供商、业务流程外包商和科技公司。特别针对SaaS提供商和边缘设备制造商的攻击,是获取下游目标访问权限的一种手段。”

在周四发布的另一份报告中,CrowdStrike将此后门归因于一个其称为“曲速熊猫”(Warp Panda)的新涉华组织,该组织自2022年以来一直活跃,并表示已识别出针对美国法律、科技和制造组织的VMware环境的“多起”入侵事件。

该疑似中国间谍组织利用其中一个被入侵的网络对某个亚太政府实体进行了“初步侦察”活动,他们还连接了网络安全博客和一个中文GitHub仓库。研究人员写道:“在至少一次入侵中,攻击者专门访问了从事与中国政府利益相关话题工作的员工的电子邮件账户。”一位发言人拒绝透露观察到了多少起此类入侵。

CrowdStrike描述了一种与谷歌和CISA详述的方法类似的方式,称“曲速熊猫”通常通过利用面向互联网的边缘设备获得受害者网络的访问权限,然后利用有效凭据或利用漏洞,转向vCenter环境。

报告详细说明的其中一起事件中,“曲速熊猫”于2023年底获得了被入侵网络的初始访问权限。除了在VMware vCenter服务器上投放Brickstorm外,该组织还在ESXi主机和客户虚拟机上分别部署了两个先前未被观察到的基于Go的植入程序,称为Junction和GuestConduit。

在“多次”情况下,间谍收集并准备敏感数据以便外泄。

根据CrowdStrike的说法,“曲速熊猫”还在夏末侵入了“多个”组织的Microsoft Azure环境,主要是为了访问存储在OneDrive、SharePoint和Exchange中的Microsoft 365数据。

在其中一个例子中,间谍获取了用户会话令牌,并通过Brickstorm植入程序建立隧道,通过会话重放访问Microsoft 365服务。威胁猎手写道:“攻击者进一步访问并下载了与某实体网络工程和事件响应团队相关的敏感SharePoint文件。”

此外,在至少一个案例中,网络入侵者最初登录用户账户后,通过验证器应用代码注册了新的多因素身份验证设备,从而建立了持久性。

Palo Alto Networks的Unit 42顾问和事件响应人员也在监视此后门及其操作者,Palo Alto Networks Unit 42国家安全项目总监皮特·雷纳尔斯告诉《The Register》。

雷纳尔斯说:“Unit 42仍然对这些行为者在信息技术和政府网络中维持的长时间驻留和持久访问感到担忧,这模糊了他们活动的全部范围和可能造成的损害。除了Brickstorm,UNC5221继续利用独特的恶意文件进行持久化,在网络中植入定制的后门,且受害者之间没有交叉,这使得检测异常困难。”

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次