La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó el jueves detalles de una puerta trasera llamada BRICKSTORM que los atacantes patrocinados por el estado de la República Popular China (RPC) están utilizando para mantener los sistemas comprometidos durante largos períodos de tiempo.
«BRICKSTORM es una puerta trasera avanzada para entornos VMware vSphere y Windows», dijo la agencia. «BRICKSTORM permite a los ciberatacantes mantener un acceso sigiloso y proporciona iniciación, persistencia y capacidades seguras de comando y control».
Un implante personalizado escrito en Golang esencialmente le brinda a un atacante malintencionado acceso al shell interactivo en el sistema, lo que le permite explorar, cargar, descargar, crear, eliminar y manipular archivos.
El malware se utiliza principalmente para ataques dirigidos a los sectores gubernamental y de tecnología de la información (TI), y también admite múltiples protocolos como comando y control (C2), HTTPS para DNS sobre HTTPS (DoH), WebSockets y Transport Layer Security (TLS) anidado para ocultar las comunicaciones y mezclarse con el tráfico normal. También puede actuar como proxy SOCKS para facilitar el movimiento lateral.
La Agencia de Ciberseguridad no dijo cuántas agencias gubernamentales se vieron afectadas ni qué tipo de datos fueron robados. Esta actividad representa una evolución continua en las tácticas del grupo de hackers chino, que continúa atacando dispositivos de red de borde para penetrar redes e infraestructura de nube.
En una declaración compartida con Reuters, un portavoz de la embajada china en Washington rechazó las acusaciones y dijo que el gobierno chino «no fomenta, apoya ni tolera los ataques cibernéticos».
BRICKSTORM fue documentado por primera vez por Google Mandiant en 2024 como un ataque relacionado con la explotación de vulnerabilidades de día cero en Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). Se cree que el uso de este malware se debe a dos grupos rastreados como UNC5221 y un nuevo adversario relacionado con China rastreado por CrowdStrike como Warp Panda.
A principios de septiembre de este año, Mandiant y Google Threat Intelligence Group (GTIG) anunciaron que observaron que los sectores de servicios legales, proveedores de software como servicio (SaaS), subcontratistas de procesos comerciales (BPO) y tecnología de EE. UU. estaban siendo atacados por UNC5221 y otros grupos de actividades de amenazas estrechamente relacionados para distribuir malware.
Según CISA, la característica principal del malware es su capacidad de reinstalarse o reiniciarse automáticamente a través de capacidades de autocontrol, lo que le permite continuar operando ante posibles interrupciones.
En un caso detectado en abril de 2024, un atacante supuestamente utilizó un shell web para acceder a un servidor web en la zona desmilitarizada (DMZ) de una organización y luego se movió lateralmente a un servidor interno VMware vCenter para implantar BRICKSTORM. Sin embargo, aún se desconocen muchos detalles, incluido el vector de acceso inicial utilizado en el ataque y cuándo se implementó el shell web.
También se ha descubierto que los atacantes utilizan este acceso para obtener credenciales de cuentas de servicio y utilizan el Protocolo de escritorio remoto (RDP) para moverse lateralmente a los controladores de dominio en la DMZ para obtener información de Active Directory. Durante el ataque, los atacantes pudieron obtener credenciales para una cuenta de proveedor de servicios administrados (MSP) y utilizaron esas credenciales para saltar desde un controlador de dominio interno a un servidor VMware vCenter.
CISA dijo que los atacantes también utilizaron Server Message Block (SMB) para moverse lateralmente desde el servidor web a dos servidores Jump y un servidor Active Directory Federation Services (ADFS), robando claves de cifrado de este último. El acceso a vCenter finalmente permitió al atacante escalar privilegios y luego implementar BRICKSTORM.
«BRICKSTORM utiliza controladores personalizados para configurar servidores proxy SOCKS, crear servidores web en sistemas comprometidos y ejecutar comandos en sistemas comprometidos», dijo, y agregó que algunos de los artefactos están «diseñados para operar en entornos virtualizados usando la interfaz Virtual Socket (VSOCK) para permitir la comunicación entre VM (máquina virtual), facilitar la filtración de datos y mantener la persistencia».
Warp Panda utiliza BRICKSTORM para corporaciones estadounidenses
En su análisis de Warp Panda, CrowdStrike dijo que detectó múltiples intrusiones dirigidas a los entornos VMware vCenter de empresas legales, tecnológicas y de fabricación con sede en EE. UU. este año, lo que llevó al despliegue de BRICKSTORM. Se cree que el grupo ha estado activo desde al menos 2022.
«Warp Panda ha demostrado capacidades técnicas avanzadas, habilidades de seguridad operativa avanzada (OPSEC) y un amplio conocimiento de los entornos de nube y máquinas virtuales (VM)», dijo la compañía. «Warp Panda exhibe un alto nivel de sigilo y es casi seguro que se centra en mantener un acceso encubierto persistente y a largo plazo a las redes comprometidas».
La evidencia sugiere que el grupo de piratas informáticos obtuvo acceso por primera vez a una entidad a fines de 2023. También se implementaron en el ataque junto con BRICKSTORM dos implantes de Golang no documentados anteriormente: Junction y GuestConduit en hosts ESXi y máquinas virtuales invitadas, respectivamente.
Las uniones actúan como servidores HTTP que escuchan las solicitudes entrantes y admiten una amplia gama de funciones, incluida la ejecución de comandos, el tráfico de red mediante proxy y la interacción con máquinas virtuales invitadas a través de sockets de VM (VSOCK). GuestConduit, por otro lado, es un implante de túnel de tráfico de red que reside dentro de la VM invitada y establece un escucha VSOCK en el puerto 5555. Su función principal es facilitar la comunicación entre las VM invitadas y el hipervisor.
El primer método de acceso implica explotar un dispositivo perimetral con acceso a Internet para migrar al entorno de vCenter utilizando credenciales válidas o explotando una vulnerabilidad en vCenter. El movimiento lateral se logra mediante SSH y la cuenta de administración privilegiada de vCenter ‘vpxuser’. El equipo de piratería también utilizó el Protocolo seguro de transferencia de archivos (SFTP) para mover datos entre hosts.
Algunas de las vulnerabilidades explotadas se enumeran a continuación.
Todo el modus operandi gira en torno a mantener el sigilo mediante la limpieza de registros, la creación de marcas de tiempo y la creación de máquinas virtuales no autorizadas que se apagan después de su uso. BRICKSTORM se utiliza para canalizar el tráfico a través de servidores vCenter, hosts ESXi y máquinas virtuales invitadas bajo la apariencia de procesos vCenter benignos.
De manera similar a los detalles compartidos por CISA, CrowdStrike señaló que los atacantes utilizaron el acceso al servidor vCenter para clonar máquinas virtuales de controlador de dominio, posiblemente con el objetivo de recolectar la base de datos de Servicios de dominio de Active Directory. También se ha descubierto que los actores de amenazas acceden a las cuentas de correo electrónico de empleados que trabajan en campos alineados con los intereses del gobierno chino.
«Warp Panda probablemente utilizó su acceso a una de las redes comprometidas para realizar un reconocimiento rudimentario contra agencias gubernamentales en la región de Asia y el Pacífico», dijo la compañía. «También estábamos conectados a varios blogs de ciberseguridad y repositorios en mandarín de GitHub».
Otro aspecto importante del trabajo de Warp Panda es su enfoque en establecer persistencia y acceder a datos confidenciales en entornos de nube. CrowdStrike lo caracterizó como un «adversario consciente de la nube» y dijo que los atacantes explotaron el acceso a los entornos Microsoft Azure de las empresas para acceder a los datos almacenados en OneDrive, SharePoint y Exchange.
En al menos un incidente, los piratas informáticos pudieron obtener tokens de sesión de usuario extrayendo archivos del navegador del usuario y canalizando el tráfico a través del implante BRICKSTORM, accediendo a los servicios de Microsoft 365 a través de ataques de reproducción de sesión y descargando archivos de SharePoint relacionados con los equipos de ingeniería de redes y respuesta a incidentes de la organización.
Los atacantes también utilizan métodos adicionales para configurar la persistencia, como registrar nuevos dispositivos de autenticación multifactor (MFA) a través del código de la aplicación Authenticator después de iniciar sesión inicialmente en una cuenta de usuario. Otra intrusión utilizó la API de Microsoft Graph para enumerar entidades de servicio, aplicaciones, usuarios, roles de directorio y correos electrónicos.
«El adversario tiene como objetivo principalmente organizaciones en América del Norte, mantiene un acceso encubierto continuo a las redes comprometidas y es probable que apoye actividades de recopilación de inteligencia alineadas con los intereses estratégicos de China», dijo CrowdStrike.
Source link
