✔Хакеры атаковали технологические и юридические организации в США с помощью малвари Brickstorm - «Новости»

28 сентября 2025 16 Новости / Добавления стилей / Изображения / Текст / Вёрстка 0

Brickstorm представляет собой написанный на Go бэкдор, впервые замеченный Google еще в апреле 2024 года. Тогда были обнаружены связанные с Китаем кибератаки, которые распространились через различные граничные устройства и оставались незамеченными в среде жертв в среднем более года.

Эта малварь служила веб-сервером, инструментом для манипуляций с файлами, дроппером, SOCKS-релеем и инструментом выполнения шелл-команд.

По данным экспертов Google Threat Intelligence Group (GTIG), атакующие использовали Brickstorm для скрытого извлечения данных из сетей жертв, и в среднем оставались в инфраструктуре скомпрометированных компаний 393 дня до момента обнаружения.

Исследователи сообщают, что атакам подверглись неназванные компании в юридическом и технологическом секторах, поставщики SaaS-решений, а также BPO. В Google считают, что компрометация таких организаций может помочь злоумышленникам разработать 0-day эксплоиты и расширить атаки на нижестоящих жертв (особенно если они не защищены EDR-решениями).

Эту активность специалисты приписывают кластеру под кодовым названием UNC5221, известному эксплуатацией уязвимости нулевого дня в продуктах Ivanti и атаками на правительственные ведомства с помощью кастомной малвари Spawnant и Zipline.

Так как участники UNC5221 провели длительное время в системах жертв и использования анти-форензик скрипты для сокрытия методов проникновения, аналитики GTIG не смогли с уверенностью определить вектор первоначального доступа, но предполагается, что хакеры эксплуатировали 0-day в пограничных устройствах.

Brickstorm разворачивается на устройствах, не защищенных EDR, включая эндпоинты VMware vCenter/ESXi, где устанавливает связь с управляющим сервером, которая маскируется под трафик Cloudflare, Heroku и других легитимных сервисов.

Затем атакующие пытались повысить привилегии, используя вредоносный Java Servlet Filter (Bricksteal) на vCenter для перехвата учетных данных, а также клонирование Windows Server VM для извлечения секретов.

Украденные учетные данные затем применялись для бокового перемещения и закрепления в системах (включение SSH на ESXi и модификация скриптов запуска init.d и systemd).

Основная цель Brickstorm заключалась в краже электронной почты через Microsoft Entra ID Enterprise Apps, и для маскировки хакеры использовали SOCKS-прокси для туннелирования во внутренние системы и репозитории.

Наблюдения Google показывают, что группа UNC5221 в основном была сосредоточена на разработчиках, администраторах и лицах, связанных с экономическими и оборонными интересами Китая.

По завершении операции малварь удалялась для затруднения проведения анализа. Также расследование было осложнено тем, что UNC5221 никогда не использует дважды одни и те же домены управляющих серверов и образцы малвари.

Чтобы помочь защитникам, специалисты Mandiant выпустили бесплатный сканер-скрипт, использующий YARA-правило для поиска Brickstorm на устройствах Linux и BSD. YARA-правила для Bricksteal и Slaystyle также включены в отчет специалистов.

При этом в Mandiant предупреждают, что этот сканер может не обнаружить все варианты Brickstorm и не гарантирует стопроцентного обнаружения компрометации, не уделяет внимание механизмам закрепления в системе и не предупреждает об уязвимых устройствах.

Специалисты Google сообщают, что предполагаемые китайские хакеры использовали малварь Brickstorm в шпионских операциях, нацеленных на американские организации в технологическом и юридическом секторах. Злоумышленники скрывались в сетях взломанных компаний около 400 дней. Brickstorm представляет собой написанный на Go бэкдор, впервые замеченный Google еще в апреле 2024 года. Тогда были обнаружены связанные с Китаем кибератаки, которые распространились через различные граничные устройства и оставались незамеченными в среде жертв в среднем более года. Эта малварь служила веб-сервером, инструментом для манипуляций с файлами, дроппером, SOCKS-релеем и инструментом выполнения шелл-команд. По данным экспертов Google Threat Intelligence Group (GTIG), атакующие использовали Brickstorm для скрытого извлечения данных из сетей жертв, и в среднем оставались в инфраструктуре скомпрометированных компаний 393 дня до момента обнаружения. Исследователи сообщают, что атакам подверглись неназванные компании в юридическом и технологическом секторах, поставщики SaaS-решений, а также BPO. В Google считают, что компрометация таких организаций может помочь злоумышленникам разработать 0-day эксплоиты и расширить атаки на нижестоящих жертв (особенно если они не защищены EDR-решениями). Эту активность специалисты приписывают кластеру под кодовым названием UNC5221, известному эксплуатацией уязвимости нулевого дня в продуктах Ivanti и атаками на правительственные ведомства с помощью кастомной малвари Spawnant и Zipline. Так как участники UNC5221 провели длительное время в системах жертв и использования анти-форензик скрипты для сокрытия методов проникновения, аналитики GTIG не смогли с уверенностью определить вектор первоначального доступа, но предполагается, что хакеры эксплуатировали 0-day в пограничных устройствах. Brickstorm разворачивается на устройствах, не защищенных EDR, включая эндпоинты VMware vCenter/ESXi, где устанавливает связь с управляющим сервером, которая маскируется под трафик Cloudflare, Heroku и других легитимных сервисов. Затем атакующие пытались повысить привилегии, используя вредоносный Java Servlet Filter (Bricksteal) на vCenter для перехвата учетных данных, а также клонирование Windows Server VM для извлечения секретов. Украденные учетные данные затем применялись для бокового перемещения и закрепления в системах (включение SSH на ESXi и модификация скриптов запуска init.d и systemd). Основная цель Brickstorm заключалась в краже электронной почты через Microsoft Entra ID Enterprise Apps, и для маскировки хакеры использовали SOCKS-прокси для туннелирования во внутренние системы и репозитории. Наблюдения Google показывают, что группа UNC5221 в основном была сосредоточена на разработчиках, администраторах и лицах, связанных с экономическими и оборонными интересами Китая. По завершении операции малварь удалялась для затруднения проведения анализа. Также расследование было осложнено тем, что UNC5221 никогда не использует дважды одни и те же домены управляющих серверов и образцы малвари. Чтобы помочь защитникам, специалисты Mandiant выпустили бесплатный сканер-скрипт, использующий YARA-правило для поиска Brickstorm на устройствах Linux и BSD. YARA-правила для Bricksteal и Slaystyle также включены в отчет специалистов. При этом в Mandiant предупреждают, что этот сканер может не обнаружить все варианты Brickstorm и не гарантирует стопроцентного обнаружения компрометации, не уделяет внимание механизмам закрепления в системе и не предупреждает об уязвимых устройствах.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.