Las empresas de servicios legales, los proveedores de software como servicio (SaaS), la subcontratación de procesos comerciales (BPO) y el sector de la tecnología estadounidense están siendo atacados por presuntos grupos de espionaje cibernético chino y nexus para proporcionar una puerta trasera conocida llamada Brickstorm.
Mandiant y el Grupo de Inteligencia de Amenazas de Mandiant y Google (GTIG) en un nuevo informe compartido con Hacker News de que UNC5221 y actividades estrechamente relacionadas causadas por China y sospecha de amenazas están diseñados para promover el acceso sostenido a las organizaciones víctimas durante más de un año.
El objetivo de Brickstorm dirigido a los proveedores de SaaS es adquirir datos que el entorno del cliente aguas abajo o el proveedor de SAA de datos anfitriones en nombre de sus clientes, y dirigirse a los campos legales y técnicos de los Estados Unidos se agradece para robar propiedad intelectual para avanzar en el desarrollo de los exprots de día cero, así como para buscar información relacionada con la seguridad nacional y el comercio internacional.
Brickstorm fue documentado por primera vez el año pasado por el gigante tecnológico en relación con la explotación de día cero de las vulnerabilidades de día cero Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). También se ha utilizado desde al menos noviembre de 2022 para apuntar al medio ambiente europeo.
Una puerta trasera basada en GO, BrickStorm está equipada con la capacidad de configurar como servidor web, realizar operaciones de sistema de archivos y directorio, cargar/descargar, ejecutar comandos de shell y realizar operaciones de archivos que actúen como un relé de cloque. Use WebSockets para comunicarse con su comando y control (C2) servidor.
A principios de este año, el gobierno de los Estados Unidos señaló que un grupo de amenazas de la Alianza de China fue rastreado para rastrear que Apt27 (también conocido como Emissary Panda) fue rastreado como superpuesto con el de Silk Typhoon, UNC5221 y UTA0178. Sin embargo, GTIG le dijo a Hacker News en ese momento que no había evidencia suficiente para confirmar los enlaces y que los trataba como dos grupos.
«Estas intrusiones se realizarán con un enfoque especial en el mantenimiento del acceso sigiloso a largo plazo mediante la implementación de los electrodomésticos en los electrodomésticos que no admiten herramientas tradicionales de detección y respuesta de punto final (EDR)», dijo GTIG, y agregó que ha respondido a varias intrusiones desde marzo de 2025.
«Los actores emplean métodos de robo de movimiento y robo de datos que no generan telemetría de mínima a no para minimizar la telemetría de seguridad. Esto, junto con la solución de la puerta trasera de tormenta de ladrillos, se ha dejado sin detectar en el entorno de víctimas durante un promedio de 393 días».
En al menos un caso, se dice que los actores de amenaza han explotado los defectos de seguridad antes mencionados en sus dispositivos de borde seguro Ivanti Connect para obtener acceso inicial y tormentas de ladrillo. Sin embargo, los tiempos de residencia a largo plazo y los esfuerzos de los actores de amenaza para borrar trazas de su actividad han dificultado determinar los vectores de acceso iniciales utilizados por otras instancias para entregar malware de múltiples fabricantes en los electrodomésticos basados en Linux y BSD.
Hay evidencia que sugiere que el malware está activo en el desarrollo. Una muestra presenta un temporizador de «retraso» que espera una serie de fechas duras futuras antes de comenzar el contacto con el servidor C2. Según Google, la variante BrickStorm se implementa en servidores VMware VMware internos después de que una organización específica lance esfuerzos de respuesta a incidentes, lo que indica la agilidad de los grupos de piratería para mantener la sostenibilidad.
El ataque también se caracteriza por el uso de un filtro de servlet Java malicioso del servidor Apache Tomcat llamado Apache Tomcat Server para capturar credenciales vCenter para una escalada de privilegios y luego clonando máquinas virtuales del servidor de Windows en sistemas principales como controladores de dominio, proveedores de identidad SSO y bóvedas secretas.
«Normalmente, la instalación de filtros requiere modificar el archivo de configuración para reiniciar o recargar la aplicación. Sin embargo, los actores utilizaron goteros personalizados para realizar los cambios completamente en la memoria, haciéndolos extremadamente sigilosos y negaron la necesidad de un reinicio», dijo Google.
Además, al girar en la infraestructura de VMware y modificar los archivos init.d, rc.local o systemd para garantizar que la puerta trasera se inicie automáticamente cuando el dispositivo se reinicia, se sabe que aprovecha las credenciales válidas a los movimientos laterales para pivotar en la infraestructura de VMware.
El objetivo principal de la campaña es acceder a correos electrónicos de personas clave dentro de la entidad víctima, como desarrolladores, administradores de sistemas e individuos involucrados en temas que son consistentes con los intereses económicos y de espionaje de China. La función de proxy de calcetines de Brickstorm se utiliza para crear túneles y acceder directamente a aplicaciones que se consideran de interés para los atacantes.
Google también ha desarrollado un escáner de script de shell para posibles víctimas, sabiendo si se ve afectado por la actividad de tormenta de ladrillos en los electrodomésticos y sistemas basados en Linux y BSD, y marcando archivos que coinciden con las firmas conocidas del malware.
«La campaña de Brickstorm representa una amenaza crítica ya que se centra en su refinamiento, evasión de defensas de seguridad empresariales avanzadas y objetivos de alto valor», dijo Charles Carmakal, CTO de Mandiant Consulting en Google Cloud, en un comunicado compartido con Hacker News.
«El acceso obtenido por UNC5221 les permite pivotar a clientes aguas abajo que comprometieron a los proveedores de SaaS y descubren vulnerabilidades de día cero en tecnología empresarial, que se pueden usar para futuros ataques.
Source link
