La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó el jueves detalles de una puerta trasera convocatoria TORMENTA DE LADRILLOS que ha sido utilizado por actores de amenazas patrocinados por el estado de la República Popular China (RPC) para nutrir la persistencia a desprendido plazo en los sistemas comprometidos.
“BRICKSTORM es una puerta trasera sofisticada para entornos VMware vSphere y Windows”, dijo la agencia. “BRICKSTORM permite a los actores de amenazas cibernéticas nutrir un comunicación sigiloso y proporciona capacidades de iniciación, persistencia y comando y control seguro”.
Escrito en Golang, el implante personalizado esencialmente brinda a los malos actores comunicación interactivo al shell en el sistema y les permite explorar, cargar, descargar, crear, eliminar y manipular archivos.
El malware, utilizado principalmente en ataques dirigidos a gobiernos y sectores de tecnología de la información (TI), además admite múltiples protocolos, como HTTPS, WebSockets y Seguridad de la capa de transporte (TLS) anidada, para comando y control (C2), DNS sobre HTTPS (DoH) para ocultar las comunicaciones y mezclarse con el tráfico común, y puede hacer como un proxy SOCKS para favorecer el movimiento supletorio.
La agencia de ciberseguridad no reveló cuántas agencias gubernamentales se vieron afectadas ni qué tipo de datos fueron robados. La actividad representa una progreso táctica continua de los grupos de hackers chinos, que han seguido atacando dispositivos de red de borde para violar redes e infraestructuras de abundancia.
En una confesión compartida con Reuters, un portavoz de la embajada china en Washington rechazó las acusaciones y afirmó que el gobierno chino no “alienta, apoya ni confabula con los ataques cibernéticos”.
BRICKSTORM fue documentado por primera vez por Google Mandiant en 2024 en ataques vinculados a la explotación de día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). El uso del malware se ha atribuido a dos grupos rastreados como UNC5221 y a un nuevo adversario del conexión con China rastreado por CrowdStrike como Warp Panda.
A principios de septiembre, Mandiant y Google Threat Intelligence Group (GTIG) dijeron que observaron que los servicios legales, los proveedores de software como servicio (SaaS), los subcontratistas de procesos comerciales (BPO) y los sectores tecnológicos en los EE. UU. estaban siendo atacados por UNC5221 y otros grupos de actividades de amenazas estrechamente relacionados para distribuir el malware.
Una característica esencia del malware, según CISA, es su capacidad de reinstalarse o reiniciarse automáticamente mediante una función de autoevaluación que permite su funcionamiento continuo frente a cualquier posible interrupción.
En un caso detectado en abril de 2024, se dice que los actores de amenazas accedieron a un servidor web internamente de la zona desmilitarizada (DMZ) de una estructura utilizando un shell web, ayer de moverse lateralmente a un servidor interno VMware vCenter e implantar BRICKSTORM. Sin confiscación, aún se desconocen muchos detalles, incluido el vector de comunicación auténtico utilizado en el ataque y cuándo se implementó el shell web.
Todavía se ha descubierto que los atacantes aprovechan el comunicación para obtener credenciales de cuenta de servicio y se mueven lateralmente a un compensador de dominio en la DMZ utilizando el Protocolo de escritorio remoto (RDP) para capturar información de Active Directory. Durante el transcurso de la intrusión, los actores de amenazas lograron obtener las credenciales de una cuenta de proveedor de servicios administrados (MSP), que luego se utilizó para saltar desde el compensador de dominio interno al servidor VMware vCenter.
CISA dijo que los actores además se movieron lateralmente desde el servidor web utilizando el Monolito de mensajes del servidor (SMB) a dos servidores de brinco y un servidor de Servicios de alianza de Active Directory (ADFS), extrayendo claves criptográficas de este postrer. El comunicación a vCenter finalmente permitió al adversario implementar BRICKSTORM luego de elevar sus privilegios.
“BRICKSTORM utiliza controladores personalizados para configurar un proxy SOCKS, crear un servidor web en el sistema comprometido y ejecutar comandos en el sistema comprometido”, dijo, agregando que algunos artefactos están “diseñados para funcionar en entornos virtualizados, utilizando una interfaz de socket imaginario (VSOCK) para permitir la comunicación entre VM (máquina imaginario), favorecer la filtración de datos y nutrir la persistencia”.
Warp Panda utiliza BRICKSTORM contra entidades estadounidenses
CrowdStrike, en su descomposición de Warp Panda, dijo que este año ha detectado múltiples intrusiones dirigidas a entornos VMware vCenter en entidades legales, tecnológicas y de fabricación con sede en EE. UU. que han llevado al despliegue de BRICKSTORM. Se cree que el clan ha estado activo desde al menos 2022.
“Warp Panda exhibe un suspensión nivel de sofisticación técnica, habilidades de seguridad de operaciones avanzadas (OPSEC) y un amplio conocimiento de los entornos de abundancia y máquinas virtuales (VM)”, dijo la compañía. “Warp Panda demuestra un suspensión nivel de sigilo y casi con certeza se centra en nutrir un comunicación encubierto, persistente y a desprendido plazo a las redes comprometidas”.
La evidencia muestra que el clan de piratas informáticos obtuvo comunicación auténtico a una entidad a finales de 2023. Todavía se implementaron en los ataques anejo con BRICKSTORM dos implantes Golang previamente no documentados, a memorizar, Junction y GuestConduit, en hosts ESXi y máquinas virtuales invitadas, respectivamente.
Junction actúa como un servidor HTTP para escuchar solicitudes entrantes y admite una amplia variedad de capacidades para ejecutar comandos, tráfico de red proxy e interactuar con máquinas virtuales invitadas a través de sockets de VM (VSOCK). GuestConduit, por otro flanco, es un implante de túnel de tráfico de red que reside internamente de una VM invitada y establece un audición VSOCK en el puerto 5555. Su responsabilidad principal es favorecer la comunicación entre las VM invitadas y los hipervisores.
Los métodos de comunicación auténtico implican la explotación de dispositivos periféricos conectados a Internet para ocurrir a entornos de vCenter, ya sea utilizando credenciales válidas o abusando de las vulnerabilidades de vCenter. El movimiento supletorio se logra mediante SSH y la cuenta de suministro privilegiada de vCenter “vpxuser”. El equipo de piratería además utilizó el Protocolo seguro de transferencia de archivos (SFTP) para mover datos entre hosts.
Algunas de las vulnerabilidades explotadas se enumeran a continuación:
Todo el modus operandi tournée en torno a nutrir el sigilo mediante la desinfección de registros, el control del tiempo de los archivos y la creación de máquinas virtuales no autorizadas que se apagan luego de su uso. BRICKSTORM, disfrazado de procesos vCenter benignos, se emplea para canalizar el tráfico a través de servidores vCenter, hosts ESXi y máquinas virtuales invitadas.
De guisa similar a los detalles compartidos por CISA, CrowdStrike señaló que los atacantes utilizaron su comunicación a los servidores vCenter para clonar máquinas virtuales de compensador de dominio, posiblemente en un intento por recoger la cojín de datos de Active Directory Domain Services. Todavía se ha descubierto que los actores de amenazas acceden a las cuentas de correo electrónico de empleados que trabajan en áreas que se alinean con los intereses del gobierno chino.
“Warp Panda probablemente utilizó su comunicación a una de las redes comprometidas para realizar un examen rudimentario contra una entidad gubernativo de Asia Pacífico”, dijo la compañía. “Todavía se conectaron a varios blogs de ciberseguridad y a un repositorio GitHub en idioma mandarín”.
Otro aspecto importante de las actividades de Warp Panda es su enfoque en establecer persistencia en entornos de abundancia y aceptar a datos confidenciales. Al caracterizarlo como un “adversario consciente de la abundancia”, CrowdStrike dijo que los atacantes explotaron su comunicación a los entornos Microsoft Azure de las entidades para aceptar a los datos almacenados en OneDrive, SharePoint y Exchange.
En al menos un incidente, los piratas informáticos lograron hacerse con tokens de sesión de becario, probablemente extrayendo archivos del navegador del becario y canalizando el tráfico a través de implantes BRICKSTORM para aceptar a los servicios de Microsoft 365 a través de un ataque de reproducción de sesión y descargar archivos de SharePoint relacionados con los equipos de ingeniería de red y respuesta a incidentes de la estructura.
Los atacantes además han utilizado formas adicionales para configurar la persistencia, como registrar un nuevo dispositivo de autenticación multifactor (MFA) a través de un código de aplicación Authenticator luego de iniciar sesión inicialmente en una cuenta de becario. En otra intrusión, se utilizó la API de Microsoft Graph para enumerar entidades principales de servicio, aplicaciones, usuarios, roles de directorio y correos electrónicos.
“El adversario apunta principalmente a entidades en América del Septentrión y mantiene consistentemente un comunicación persistente y encubierto a redes comprometidas, probablemente para apoyar los esfuerzos de compilación de inteligencia alineados con los intereses estratégicos de la República Popular China”, dijo CrowdStrike.
