BRICKSTORM-Hintertür

Eine mutmaßlich mit China verbundene Cyberspionagegruppe hat es auf Unternehmen aus den US-amerikanischen Rechtsdienstleistungs-, Software-as-a-Service- (SaaS), Business Process Outsourcing- (BPO) und Technologiebranchen abgesehen. Das Ziel: die Einführung einer hochleistungsfähigen Hintertür namens BRICKSTORM.

Diese Angriffe, die UNC5221 und eng verwandten Bedrohungsclustern zugeordnet werden, zielen darauf ab, den Zugriff auf die Netzwerke der Opfer über ein Jahr lang aufrechtzuerhalten. Dabei zielen sie häufig auf SaaS-Anbieter ab, um auf nachgelagerte Kundenumgebungen oder in deren Namen gehostete Daten zuzugreifen. Im Rechts- und Technologiesektor scheinen die Angriffe durch den Diebstahl von geistigem Eigentum, nachrichtendienstlichen Erkenntnissen im Zusammenhang mit der nationalen Sicherheit und für den internationalen Handel relevanten Informationen motiviert zu sein.

BRICKSTORM: Die Hintertür, die verborgen bleibt

BRICKSTORM wurde erstmals im letzten Jahr beobachtet und stand im Zusammenhang mit der Ausnutzung von Zero-Day-Schwachstellen (CVE-2023-46805 und CVE-2024-21887) in Ivanti Connect Secure. Die Malware ist seit mindestens November 2022 auch in europäischen Windows-Umgebungen aktiv.

BRICKSTORM, geschrieben in Go, umfasst folgende Funktionen:

• Fungiert als Webserver.
• Bearbeiten Sie Dateisysteme und Verzeichnisse.
• Dateien hochladen/herunterladen und Shell-Befehle ausführen.
• Funktioniert als SOCKS-Proxy.
• Kommunizieren Sie über WebSockets mit einem Command-and-Control-Server (C2).

Die Malware ist darauf ausgelegt, der Erkennung zu entgehen, insbesondere auf Geräten ohne herkömmliche Endpoint Detection and Response (EDR). Dank ihrer Tarnarchitektur bleiben die Angreifer durchschnittlich 393 Tage lang unentdeckt.

Fortgeschrittene Techniken für Heimlichkeit und Persistenz

Die Bedrohungsakteure setzen hochentwickelte Techniken zur lateralen Bewegung und Persistenz ein:

Ausnutzung und Erstzugriff : Mindestens ein Angriff nutzte Schwachstellen in Ivanti Connect Secure Edge-Geräten, um BRICKSTORM einzusetzen. Andere Bereitstellungen auf Linux- und BSD-basierten Geräten sind weiterhin schwer nachzuverfolgen, da die Angreifer sorgfältig alle Aktivitätsspuren verwischt haben.

Agile Malware-Entwicklung : Einige BRICKSTORM-Beispiele enthalten einen Verzögerungstimer, der die Kommunikation mit C2-Servern um Monate verzögert. In einem Fall wurde die Malware auf einem VMware vCenter-Server bereitgestellt, nachdem die Reaktion auf den Vorfall bereits begonnen hatte, was operative Agilität demonstrierte.

Privilegienerweiterung durch BRICKSTEAL : Ein bösartiger Java-Servlet-Filter auf Apache Tomcat wurde verwendet, um vCenter-Anmeldeinformationen abzufangen. Anschließend klonten die Angreifer Windows Server-VMs für kritische Systeme wie Domänencontroller, SSO-Identitätsanbieter und geheime Tresore.

Änderungen im Arbeitsspeicher : Durch die Verwendung eines benutzerdefinierten Droppers führten Angreifer Konfigurationsänderungen vollständig im Arbeitsspeicher durch und vermieden so Neustarts und Erkennung der Anwendung.

Persistenzmethoden : Änderungen an init.d-, rc.local- oder systemd-Dateien sowie die Bereitstellung von JSP-Web-Shells wie SLAYSTYLE (auch bekannt als BEEFLUSH) stellen sicher, dass BRICKSTORM beim Neustart des Geräts automatisch neu gestartet wird und beliebige Betriebssystembefehle ausführt.

Strategische Ziele und Auswirkungen

Das Hauptziel dieser Kampagne ist die gezielte Datenexfiltration. Der Fokus liegt dabei auf E-Mails und Konten von Entwicklern, Systemadministratoren und Mitarbeitern in sensiblen Bereichen, die mit Chinas Wirtschafts- und Spionageinteressen in Zusammenhang stehen. Mithilfe der SOCKS-Proxy-Funktion können Angreifer in relevante Anwendungen eindringen und sich auf nachgelagerte SaaS-Kunden konzentrieren oder Zero-Day-Schwachstellen für zukünftige Kampagnen identifizieren.

Die BRICKSTORM-Kampagne stellt eine hochentwickelte Bedrohung dar, die in der Lage ist, fortschrittliche Unternehmensverteidigungen zu umgehen und sich auf hochwertige Ziele zu konzentrieren.