BRICKSTORM Backdoor
中国と連携していると思われるサイバースパイグループが、米国の法律サービス、SaaS(ソフトウェア・アズ・ア・サービス)、ビジネスプロセスアウトソーシング(BPO)、そしてテクノロジー分野の企業を標的にしています。その目的は、「BRICKSTORM」と呼ばれる高性能なバックドアを仕掛けることです。
UNC5221および密接に関連する脅威クラスターに起因するこれらの侵入は、被害者のネットワークへの持続的なアクセスを1年以上維持することを目的としており、多くの場合、SaaSプロバイダーを標的として、下流の顧客環境やプロバイダーがホスティングするデータにアクセスします。法務およびテクノロジー分野における攻撃は、知的財産、国家安全保障に関連する情報、および国際貿易に関連する情報の窃盗を目的としているようです。
目次
BRICKSTORM:隠されたバックドア
昨年初めて確認されたBRICKSTORMは、Ivanti Connect Secureのゼロデイ脆弱性(CVE-2023-46805およびCVE-2024-21887)を悪用する攻撃に関連していました。また、少なくとも2022年11月以降、欧州のWindows環境でも活動が活発化しています。
Go で記述された BRICKSTORM には、次の機能が含まれています。
- Web サーバーとして機能します。
- ファイルシステムとディレクトリを操作します。
- ファイルをアップロード/ダウンロードし、シェル コマンドを実行します。
- SOCKS プロキシとして動作します。
- WebSocket を介してコマンド アンド コントロール (C2) サーバーと通信します。
このマルウェアは、特に従来のエンドポイント検知・対応(EDR)機能を備えていないアプライアンス上での検出を回避するように設計されています。そのステルス性の高いアーキテクチャにより、攻撃者は平均393日間も検出されずに潜伏することが可能です。
ステルスと持続性のための高度な技術
脅威の攻撃者は、横方向の移動と持続のために非常に洗練された手法を採用しています。
エクスプロイトと初期アクセス:少なくとも1件の攻撃で、Ivanti Connect Secureエッジデバイスの脆弱性が悪用され、BRICKSTORMが展開されました。LinuxおよびBSDベースのアプライアンスへのその他の展開は、攻撃者が活動の痕跡を慎重に消去しているため、追跡が依然として困難です。
俊敏なマルウェア開発:BRICKSTORMサンプルの中には、C2サーバーとの通信を数か月間延期する「遅延」タイマーを備えたものがあります。ある事例では、インシデント対応開始後にマルウェアがVMware vCenterサーバー上に展開され、運用の俊敏性が示されました。
BRICKSTEALによる権限昇格:Apache Tomcat上の悪意のあるJavaサーブレットフィルタがvCenterの認証情報を取得するために利用されました。その後、攻撃者はドメインコントローラ、SSO IDプロバイダー、シークレットボールトなどの重要なシステム用のWindows Server VMのクローンを作成しました。
メモリ内の変更: 攻撃者はカスタム ドロッパーを使用することで、メモリ内で完全に構成の変更を適用し、アプリケーションの再起動と検出を回避しました。
永続化方法: init.d、rc.local、または systemd ファイルへの変更、および SLAYSTYLE (別名 BEEFLUSH) などの JSP Web シェルの展開により、アプライアンスの再起動時に BRICKSTORM が自動的に再起動し、任意の OS コマンドが実行されるようになります。
戦略目標と影響
このキャンペーンの主な目的は、開発者、システム管理者、そして中国の経済およびスパイ活動に関わる機密分野に携わる担当者のメールやアカウントを標的とした、標的型データ窃取です。SOCKSプロキシ機能を利用することで、攻撃者は対象のアプリケーションにトンネルを掘り、下流のSaaS顧客に攻撃を仕掛けたり、将来のキャンペーンのためのゼロデイ脆弱性を特定したりすることができます。
BRICKSTORM キャンペーンは、高度な企業の防御を回避し、価値の高いターゲットに焦点を絞ることができる、非常に洗練された脅威です。
