BRICKSTORM backdoor amerikai jogi és tech szektor ellen
Az Egyesült Államokban a jogi szolgáltatásokat nyújtó vállalatok, az SaaS szolgáltatók, az üzleti folyamatok kiszervezésével foglalkozó vállalatok (BPO) és a technológiai szektor vállalatai egy feltételezett kínai kapcsolatokkal rendelkező kiberkémcsoport célpontjává váltak, amely egy BRICKSTORM néven ismert backdoor-t telepített a rendszereikbe.
A Google ezt a tevékenységet az UNC5221-nek és a szorosan kapcsolódó, feltételezett kínai kapcsolódású fenyegetési klasztereknek tulajdonítja, amelyek kifinomult képességeket alkalmaznak, beleértve a hálózati eszközöket célzó zero-day sérülékenységek kihasználását. Bár az UNC5221-et szinonimaként használják a nyilvánosan Silk Typhoon néven ismert szereplővel, a Google Threat Intelligence Group (GTIG) jelenleg nem tekinti a két klasztert azonosnak.
A BRICKSTORM SaaS-szolgáltatókat célzó tevékenységének célja az, hogy hozzáférést szerezzen a downstream ügyfélkörnyezetekhez vagy az adatokhoz, amelyeket a SaaS-szolgáltatók ügyfeleik nevében tárolnak, míg az amerikai jogi és technológiai szektorok megcélzása valószínűleg egy kísérlet arra, hogy információkat gyűjtsön a nemzetbiztonsággal és a nemzetközi kereskedelemmel kapcsolatban, valamint hogy szellemi tulajdont lopjon el a zero-day exploitok fejlesztésének előmozdítása érdekében.
A BRICKSTORM-ot a Google tavaly dokumentálta először az Ivanti Connect Secure zero-day sérülékenységének (CVE-2023-46805 és CVE-2024-21887) kihasználásával kapcsolatban. A BRICKSTORM-ot Legalább 2022 novembere óta európai Windows-környezetek ellen is használják.
A Mandiant által vizsgált BRICKSTORM behatolásokkal kapcsolatban végzett vizsgálatok során folyamatos kihívást jelentett a kezdeti behatolási vektor meghatározása. Sok esetben az átlagos tartózkodási idő (dwell time) 393 nap volt, ami meghaladta a naplózási időszakot, és a kezdeti behatolás nyomai már nem voltak elérhetők. Ennek ellenére a Google által azonosított mintázatok arra utalnak, hogy a támadó a külső hálózat és a távoli hozzáférési infrastruktúra kompromittálására összpontosított.
