Группа Google Threat Intelligence Group (GTIG) обнаружила, что неизвестные хакеры более года использовали вредоносное ПО Brickstorm для скрытного шпионажа за организациями в США. Целями стали компании из технологического и юридического секторов, а также поставщики облачных сервисов и аутсорсеры бизнес-процессов.
Как сообщает Google, Brickstorm представляет собой многофункциональный бэкдор, написанный на языке Go, и впервые был задокументирован в апреле 2024 года. Он способен выполнять функции веб-сервера, манипулировать файлами, выполнять команды оболочки, передавать трафик через SOCKS-прокси и служить дроппером для загрузки других вредоносных компонентов.
Среднее время нахождения Brickstorm в инфраструктуре жертв до момента обнаружения составляло 393 дня. Вредоносное ПО запускалось на устройствах, не поддерживающих системы обнаружения угроз (EDR), например, на VMware vCenter и ESXi. Маскировка под легитимный трафик от Cloudflare и Heroku помогала злоумышленникам обходить системы мониторинга.
Google связывает кампанию с кластером UNC5221 — активной группой, известной атаками на правительственные структуры через уязвимости нулевого дня. UNC5221 использует собственные инструменты, такие как Spawnant и Zipline, а также скрипты для сокрытия следов на заражённых устройствах. Первичный вектор проникновения в новых атаках точно не установлен, но исследователи предполагают использование уязвимостей периферийных устройств.
После закрепления в сети жертвы хакеры устанавливали модуль Bricksteal на vCenter, перехватывали учётные данные через вредоносный фильтр Java Servlet и клонировали виртуальные машины для извлечения секретной информации. Используя полученные пароли, злоумышленники переходили к другим системам и сохраняли доступ, активируя SSH на ESXi и модифицируя системные скрипты запуска.
Основная цель Brickstorm — кража электронной почты и чувствительных данных через Microsoft Entra ID, доступ к внутренним репозиториям и корпоративным приложениям. Прокси-сервер SOCKS использовался для маскировки доступа и обхода внешней защиты. По наблюдениям Google, UNC5221 фокусируется на разработчиках, администраторах и специалистах, работающих в сферах, представляющих интерес для экономики и обороны КНР.
После завершения операций вредоносные компоненты удалялись с систем, что существенно затрудняет цифровую криминалистику. Для каждого инцидента использовались уникальные домены командных серверов и неповторяющиеся версии вредоносного кода.
Оригинал публикации на сайте CISOCLUB: "Google сообщает, что хакеры много месяцев атаковали американские компании с применением шпионского ПО".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.