谷歌披露BRICKSTORM供应链攻击:中国黑客利用Go语言后门渗透美国企业

谷歌威胁情报团队发现中国黑客组织UNC5221使用Go语言编写的BRICKSTORM后门程序,针对VMware虚拟化平台等边缘设备发起长期潜伏的供应链攻击。攻击平均驻留时间达393天,通过窃取源代码和产品缺陷数据为未来零日漏洞武器化做准备,对企业安全防护提出新挑战。

谷歌警告BRICKSTORM供应链攻击

中国关联黑客使用BRICKSTORM恶意软件攻击科技、SaaS和法律公司,威胁美国供应链。

攻击原理

这些入侵的核心是名为BRICKSTORM的后门程序,这是一个基于Go语言的恶意软件家族,通常被植入缺乏终端检测与响应(EDR)覆盖的系统,如VMware ESXi虚拟化平台、邮件网关和漏洞扫描器。

一旦部署,BRICKSTORM提供SOCKS代理功能并实现隐蔽持久化。在某些案例中,攻击者还会在VMware vCenter服务器上安装BRICKSTEAL——一个恶意的Java Servlet过滤器,用于截获管理员凭证并实现横向移动。

BRICKSTORM的特别危险之处在于其长期规避安全工具的能力。谷歌报告称检测前的平均"驻留时间"达到393天,使对手有超过一年时间收集邮件、窃取源代码并准备后续操作。

攻击影响

根据谷歌分析,入侵主要由中国关联组织UNC5221推动,该威胁行为体长期针对美国机构进行隐蔽操作。受害者涵盖多个关键领域,技术供应商和SaaS提供商的泄露使攻击者不仅能访问公司本身,还能获取其为客户托管的敏感数据。

法律公司同样成为目标,攻击者专门搜索涉及美国国家安全和国际贸易案件人员的电子邮件。企业技术供应商也遭到入侵,有证据表明攻击者窃取了广泛使用产品的源代码。

防护建议

组织可采取以下措施:

  • 使用YARA规则或谷歌新发布的检测工具扫描BRICKSTORM
  • 审计常被排除在集中日志记录之外的设备(如ESXi、VPN集中器、边缘设备)
  • 检查vCenter日志中域控制器或密码保管服务器的异常克隆操作
  • 限制设备管理接口的互联网访问,执行严格的最小权限控制
  • 通过启用多因素认证、强制执行锁定模式并将审计日志转发至SIEM来强化VMware环境

对于企业和服务提供商而言,BRICKSTORM攻击活动揭示了一个关键事实:保护供应链生态系统需要对常被忽视的边缘设备进行补丁管理、监控和可视化,这些设备正是当今高级对手的藏身之处。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次