谷歌警告BRICKSTORM供应链攻击

攻击概述

谷歌研究人员发现，与中国有关的黑客正在使用能够规避传统防御的隐秘恶意软件，渗透美国科技公司、SaaS提供商和律师事务所。该攻击活动凸显了供应链式入侵的升级浪潮，这些入侵会悄悄地从供应商及其客户那里窃取敏感数据。

谷歌威胁情报组首席分析师约翰·霍尔特奎斯特表示：“在美国，这是下一级别的活动，随着时间的推移，我们只会了解更多相关信息。”

这些入侵的核心是一个名为BRICKSTORM的后门，这是一个基于Go语言的恶意软件家族，通常植入在缺乏端点检测和响应覆盖的系统上，如VMware ESXi虚拟机管理程序、电子邮件网关和漏洞扫描器。

一旦部署，BRICKSTORM提供SOCKS代理功能并实现隐蔽持久化。在某些情况下，攻击者还会在VMware vCenter服务器上安装BRICKSTEAL——一个恶意的Java Servlet过滤器，用于拦截管理员凭据并实现进一步的横向移动。

BRICKSTORM的特别危险之处在于其长期规避安全工具的能力。谷歌报告称，检测前的平均“驻留时间”为393天，使对手有超过一年的时间收集电子邮件、窃取源代码并准备后续操作。这种延长的隐蔽时间违背了行业在违规检测速度方面的改进。

通过窃取源代码和产品缺陷数据，UNC5221正在为利用未来的零日漏洞做准备。

根据谷歌的说法，这些入侵主要由一个被称为UNC5221的中国相关组织驱动，该威胁行为者曾多次以长期、隐秘的操作针对美国组织。

虽然UNC5221似乎是主导力量，但研究人员认为其他中国国家支持的组织正在共享工具和基础设施，扩大了该活动的范围和复杂性。

受害者概况涵盖多个关键行业。技术供应商和SaaS提供商遭到入侵，使攻击者不仅可能访问公司本身，还可能访问他们代表客户托管的敏感数据。

律师事务所也成为目标，攻击者专门搜索涉及美国国家安全和国际交易案件的个人电子邮件。企业技术供应商也遭到入侵，有证据表明攻击者已窃取广泛使用产品的源代码。这种窃取可能让对手发现隐藏的漏洞，这些漏洞可能在未来的操作中被利用。

组织可以采取以下行动：

对于企业和服务提供商而言，BRICKSTORM活动强调了一个关键事实：保护供应链生态系统需要对被忽视的边缘设备进行修补、监控和可见性，如今最先进的对手就藏身于这些设备中。