VerdantBamboo rejtett eszközei
A Volexity elemzése szerint a VerdantBamboo (UNC5221, WARP PANDA) nevű, feltehetően kínai állami kötődésű csoport újra a BRICKSTORM back doort alkalmazza, azonban a hangsúlyt ezúttal már nem a hagyományos szerverekre, hanem a vállalati hálózati peremeszközökre és speciális appliance-rendszerekre helyezi. A vizsgált incidens során a támadók legalább 18 hónapon keresztül maradtak rejtve a kompromittált infrastruktúrában.
A támadási lánc egy Egnyte Storage Sync Linux-alapú virtuális appliance kompromittálásával indult. A támadók egy hibás sudo-konfigurációt kihasználva rendszerszintű jogosultságot szereztek, majd telepítették a BRICKSTORM Golang-alapú back doort. Az implantátumot nem állandó szolgáltatásként futtatták, hanem csak szükség esetén aktiválták, jelentősen csökkentve az észlelés esélyét. A vezérlőszerverrel HTTPS-alapú WebSocket kapcsolaton keresztül kommunikált, miközben a DNS-feloldást Google DNS over HTTPS szolgáltatáson keresztül végezte, így a forgalom legitim hálózati aktivitásnak tűnt.
A csoport nemcsak a célvállalatot, hanem annak menedzselt szolgáltatóját (MSP) is kompromittálta. A szolgáltató pfSense tűzfalán egy FreeBSD-változatú BRICKSTORM implantátumot helyeztek el, amelyet a cron rendszer módosításával automatikusan indítottak. Az MSP-n keresztül megszerzett adminisztrátori hitelesítő adatok lehetővé tették a célhálózat újbóli kompromittálását még az első incidenskezelés után is.
A Volexity két új, korábban nem dokumentált kártevőt is azonosított. A PLENET egy .NET Core alapú, Native AOT technológiával fordított platformfüggetlen hátsó kapu, míg az AGENTPSD egy Python-alapú tartalék visszacsatoló eszköz, amely akkor aktiválható, ha a BRICKSTORM működése megszakad. A többféle implantátum alkalmazása jól mutatja a támadók többrétegű perzisztencia-stratégiáját.
A kínai kiberkémcsoportok egyre tudatosabban helyezik át tartós hozzáférési pontjaikat olyan hálózati eszközökre – tűzfalakra, NAS-rendszerekre, tároló szinkronizációs appliance-ekre –, ahol hagyományosan nem működik EDR-védelem. A hálózati infrastruktúra önmagában is kiemelt támadási felületté vált, ezért annak naplózása, frissítése és folyamatos monitorozása ma már a vállalati védelem alapvető eleme.
