中国APT组织在边缘设备部署"Brickstorm"后门的技术分析

中国黑客组织UNC5221针对无法运行传统EDR代理的网络设备部署新型"Brickstorm"后门。该跨平台恶意软件使用Go语言编写,通过云服务隐藏C2通信,平均潜伏期达393天,主要攻击VMware系统和企业SaaS提供商。

中国APT组织在边缘设备部署"Brickstorm"后门

来源: Lane Erickson via Alamy Stock Photo

一个与中国有关的网络间谍组织正在系统性地利用缺乏标准端点检测与响应(EDR)支持的网络和基础设施设备,入侵法律服务、技术、SaaS提供商和业务流程外包等多个行业的组织。

攻击者部署了一种被谷歌威胁情报小组(GTIG)追踪为"Brickstorm"的复杂后门,以实现长期访问。据研究人员称,这种访问持续时间已超过一年。

隐蔽的攻击手法

Brickstorm通过模仿合法软件并为每个受害者使用独特的命令与控制(C2)服务器来隐藏自身,使得检测和阻断极其困难。根据GTIG的数据,这种隐蔽的攻击手法让被追踪为UNC5221的威胁行为者平均能在受损网络中潜伏393天才被发现。

谷歌发现,在许多案例中,UNC5221通过滥用具有提升权限的Microsoft Entra ID企业应用程序,悄悄访问开发人员、管理员和中国可能具有战略利益的个人的电子邮件。更令人担忧的是,UNC5221瞄准的系统通常能够访问下游客户组织。

GTIG首席分析师Austin Larsen表示:“我们观察到SaaS提供商被入侵导致其客户遭受下游访问。虽然不分享具体受害者数量和细节,但要强调UNC5221正在瞄准企业公司、BPO和政府部门及其他科技公司使用的技术产品。”

初始入侵手段

与复杂的国家支持攻击活动一样,GTIG研究人员尚未确定UNC5221是如何初始入侵目标网络设备的(这些设备大多基于Linux或BSD系统)。但现有遥测数据表明,攻击者同时利用已知漏洞和零日漏洞在多厂商的边界和远程访问设备上建立立足点。

目标设备包括防火墙、VPN、IDS/IPS等部署在网络边缘的设备。这些系统通常被设计为锁定状态,意味着防御者无法部署标准端点检测和修复工具,这为攻击者创造了盲点。

GTIG研究人员在博客中指出:“虽然BRICKSTORM在许多类型的设备上被发现,但UNC5221持续针对VMware vCenter和ESXi主机。在多个案例中,威胁行为者先在网络设备上部署BRICKSTORM,然后转向VMware系统。”

跨平台威胁

Brickstorm本身是用Go语言编写的跨平台后门。该恶意软件支持SOCKS代理功能, essentially将受感染设备变成中继点,允许攻击者通过其路由流量并深入网络,同时隐藏真实来源。

UNC5221在最新活动中使用的Brickstorm样本是对谷歌先前分析样本的改进。最显著的改进之一是在某些样本中引入了"延迟"计时器,确保恶意软件在受感染系统上休眠,直到几个月后的硬编码日期才激活。

GTIG还发现威胁行为者使用开源代码混淆工具Garble来隐藏较新Brickstorm样本中的函数名、结构和逻辑。某些样本包含自定义库的新版本,表明UNC5221正在持续开发该恶意软件。

隐蔽持久化

根据GTIG的说法,Brickstorm设计通过在受感染设备上使用伪装成合法活动的名称和功能来隐藏自身。恶意软件使用通过Cloudflare Workers或Heroku等流行云服务的C2服务器,或使用直接指向C2服务器IP的动态域名。重要的是,每个受害者都有自己专属的C2域名,使防御者更难追踪和阻断。

另一家追踪Brickstorm活动的网络安全厂商Picus Security描述该恶意软件允许UNC5221行为者"隧道进入内部网络进行交互式访问和文件检索"。据该厂商称,恶意软件接受基于Web的命令,在主机上执行并通过HTTP响应返回输出。

长期隐蔽策略

Picus安全研究主管Hüseyin Can Yüceel表示,该威胁组织遵循低噪声策略:“他们偏好设备和管理平面入侵、每个受害者专属的混淆Go二进制文件、延迟启动植入物以及Web/DoH C2以保持隐蔽。该组织的长期隐蔽是经过精心设计的。”

该组织的TTP通常包括收集和使用有效的高权限凭证,使其活动看起来像常规管理员任务。他们还部署内存servlet过滤器、移除安装程序工件并嵌入延迟启动逻辑以限制取证痕迹。

安全建议

Keeper Security首席信息安全官Shane Barney指出,Brickstorm活动突显了攻击者如何转向通常超出传统监控范围的系统,如边缘设备和虚拟化平台。“当对手能够未被发现地潜伏超过一年时,这强调了在整个基础设施中保持可见性和规范风险管理的重要性。”

Barney建议安全领导者应将这些设备视为关键资产,包括维护最新资产清单、限制不必要的互联网访问并确保日志流入集中监控系统。“虽然完美预防不现实,但改善这些盲点的检测可以显著缩短驻留时间并增强对长期间谍活动的抵御能力。”

Ontinue首席安全官Craig Jones补充说,Brickstorm恶意软件活动提醒人们安全基础设施本身通常是高级国家行为者的主要目标。“这些入侵能够未被发现地持续数月,既说明了行为者的耐心,也揭示了传统检测模型中仍存在的差距。这提醒我们,防御复杂行为者不仅关乎修补自身系统,还关乎要求合作伙伴、供应商和核心安全基础设施保持同等警惕标准。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次