Brickstorm - 后门隐秘窃取美国机构系统数据

2025年10月15日，05:42 | 动态 | 0评论
标签：awareness, backdoor, brickstorm

Brickstorm是一个用Go语言编写的后门程序。关于它的首次提及出现在2024年4月。该恶意软件具备Web服务器、文件操作工具、投放器、SOCKS中继以及shell命令执行功能。研究人员将这些攻击归因于UNC5221活动集群，该组织以利用Ivanti产品中的零日漏洞攻击政府机构而闻名，使用自定义恶意软件如Spawnant和Zipline。

根据Google威胁情报小组（GTIG）的说法，攻击者使用Brickstorm悄无声息地从受害者网络中窃取数据，从入侵到被发现的平均驻留时间（dwell time）为393天。

研究人员确认了法律和技术领域组织、SaaS模式软件供应商以及业务流程外包（BPO）公司的安全遭到破坏。根据Google的说法，黑客的价值不在于攻击本身，而在于收集数据和实验以开发零日漏洞利用程序。目标是什么？扩大攻击范围至更多受害者，特别是那些没有端点检测与响应（EDR）解决方案保护的受害者。

由于在受害者系统中存在时间较长，以及UNC5221使用了反取证脚本——用于掩盖入侵痕迹并增加入侵后分析难度的工具或命令，GTIG无法百分之百确定初始攻击向量。研究人员认为，最有可能利用了外围设备中的零日漏洞（这谁会感到惊讶呢？;-））。

攻击者将Brickstorm安装在通常不受EDR监控的设备上（例如VMware hypervisor），然后与他们控制的服务器通信，将此通信伪装成流向流行可信服务（Cloudflare、Heroku）的正常流量。因此，他们的行为极难检测，而系统被入侵为他们提供了广泛的盗窃和在网络中横向移动（Lateral Movement）的能力。

获得立足点后，攻击者尝试提升权限，利用vCenter实例上的恶意Java Servlet过滤器（Bricksteal）截获凭据，并克隆Windows Server虚拟机以提取机密信息。

被盗的凭据随后被用于横向移动（再次是lateral movement）和维持环境内的持久性，这包括在ESXi上启用SSH以及修改init.d和systemd启动脚本。

Brickstorm的主要操作目标是通过Microsoft Entra ID企业应用程序外泄电子邮件，利用其SOCKS代理将流量隧道传输到内部系统和代码仓库，同时保持适当的隐蔽水平。

Google的观察表明，UNC5221特别关注开发人员、管理员以及与中国的经济利益和安全相关的人员。

操作完成后，恶意软件会被删除以增加入侵后分析的难度。更复杂的是，UNC5221从不重复使用相同的C2域名或相同的恶意软件样本。

~Natalia Idźkowska