Çinli hakerlər ABŞ sistemlərinə BRICKSTORM ilə daxil olublar

BRICKSTORM arxa qapısı

Çinli hakerlər ABŞ sistemlərinə BRICKSTORM - CISA-nın bildirdiyinə görə, BRICKSTORM VMware vSphere və Windows mühitləri üçün hazırlanmış mürəkkəb bir arxa qapıdır. Bu, kiber təhdid aktorlarına gizli giriş imkanı verir və başlanğıc, qalıcılıq və təhlükəsiz əmr və idarəetmə üçün imkanlar təmin edir.

Golang dilində yazılmış xüsusi implant, əslində, pis niyyətli aktorlara sistemdə interaktiv shell girişi verir və onlara faylları gözdən keçirmək, yükləmək, endirmək, yaratmaq, silmək və manipulyasiya etmək imkanı yaradır.

Hədəf sektorlar və məlumat oğurluğu

Əsasən hökumətləri və informasiya texnologiyaları (İT) sektorlarını hədəf alan hücumlarda istifadə edilən zərərli proqram, əmr və idarəetmə (C2) üçün HTTPS, WebSockets və daxili Nəqliyyat Təhlükəsizliyi Qatı (TLS) kimi çoxsaylı protokolları dəstəkləyir. O cümlədən, ünsiyyəti gizlətmək və normal trafiklə qarışmaq üçün DNS-over-HTTPS (DoH) istifadə edir və yan hərəkəti asanlaşdırmaq üçün SOCKS proksi kimi fəaliyyət göstərə bilir.

Kiber təhlükəsizlik agentliyi neçə hökumət qurumunun təsirləndiyini və ya hansı növ məlumatların oğurlandığını açıqlamayıb. Bu fəaliyyət, şəbəkələrə və bulud infrastrukturlarına daxil olmaq üçün kənar şəbəkə cihazlarına zərbə vurmağa davam edən Çin haker qruplarının davam edən taktiki təkamülünü təmsil edir.

Çin səfirliyinin reaksiyası

Reuters-ə verilən açıqlamada Çinin Vaşinqtondakı səfirliyinin sözçüsü ittihamları rədd edərək, Çin hökumətinin "kiber hücumları təşviq etmədiyini, dəstəkləmədiyini və ya onlara göz yummadığını" bildirib.

BRICKSTORM-un əvvəlki aşkarlanması

BRICKSTORM ilk dəfə 2024-cü ildə Google Mandiant tərəfindən Ivanti Connect Secure sıfır gün zəifliklərinin (CVE-2023-46805 və CVE-2024-21887) sıfır gün istismarı ilə əlaqəli hücumlarda sənədləşdirilmişdir. Zərərli proqramın istifadəsi UNC5221 kimi izlənilən iki klasterə və CrowdStrike tərəfindən Warp Panda kimi izlənilən yeni Çinlə əlaqəli düşmənə aid edilib.

Hədəflər və hücum vektorları

Bu ilin sentyabr ayının əvvəlində Mandiant və Google Threat Intelligence Group (GTIG), ABŞ-da hüquq xidmətləri, proqram təminatı-xidmət kimi (SaaS) təminatçıları, Biznes Prosesi Autsorserləri (BPO) və texnologiya sektorlarının UNC5221 və digər yaxın əlaqəli təhdid fəaliyyəti klasterləri tərəfindən zərərli proqramı çatdırmaq üçün hədəf alındığını müşahidə etdiklərini bildiriblər.

Qalıcılığı təmin etmə mexanizmləri

CISA-nın məlumatına görə, zərərli proqramın əsas xüsusiyyəti, hər hansı potensial pozuntu qarşısında davamlı fəaliyyətini təmin edən özünütənzimləmə funksiyası vasitəsilə avtomatik olaraq yenidən qurulması və ya yenidən başladılması qabiliyyətidir.

Hücum ssenarisi və yayılma üsulları

2024-cü ilin aprelində aşkar edilmiş bir halda, təhdid aktorlarının təşkilatın demilitarizasiya edilmiş zonasının (DMZ) içərisindəki veb serverə veb shell istifadə edərək daxil olduğu, daha sonra daxili VMware vCenter serverinə yan tərəfə keçdiyi və BRICKSTORM-u yerləşdirdiyi deyilir. Lakin hücumda istifadə edilən ilkin giriş vektoru və veb shell-in nə vaxt yerləşdirildiyi də daxil olmaqla, bir çox təfərrüat məlum deyil.

Həmçinin, hücum edənlərin xidmət hesabı etimadnamələrini əldə etmək və Aktiv Directory məlumatlarını ələ keçirmək üçün Uzaq Masaüstü Protokolu (RDP) istifadə edərək DMZ-dəki domen nəzarətçisinə yan tərəfə keçdiyi aşkar edilib. Müdaxilə zamanı təhdid aktorları idarə olunan xidmət təminatçısı (MSP) hesabının etimadnamələrini əldə etməyi bacarıb, daha sonra bu, daxili domen nəzarətçisindən VMware vCenter serverinə keçmək üçün istifadə edilib.

Əlavə yayılma və məlumat oğurluğu

CISA-nın bildirdiyinə görə, aktorlar həmçinin Server Message Block (SMB) istifadə edərək veb serverdən iki jump serverə və Aktiv Directory Federasiya Xidmətləri (ADFS) serverinə yan tərəfə keçərək, sonuncudan kriptoqrafik açarları çıxarıblar. vCenter-ə giriş, nəticədə düşmənə imtiyazlarını artırdıqdan sonra BRICKSTORM-u yerləşdirməyə imkan verib.

BRICKSTORM SOCKS proksi qurmaq, təhlükəyə məruz qalmış sistemdə veb server yaratmaq və təhlükəyə məruz qalmış sistemdə əmrləri yerinə yetirmək üçün xüsusi idarəedicilərdən istifadə edir. Bəzi artefaktlar virtual mühitlərdə işləmək üçün nəzərdə tutulub, VM [virtual maşın] kommunikasiyasını təmin etmək, məlumat çıxarılmasını asanlaşdırmaq və qalıcılığı qorumaq üçün virtual socket (VSOCK) interfeysindən istifadə edir.

Warp Panda-nın ABŞ qurumlarına qarşı BRICKSTORM istifadəsi

CrowdStrike, Warp Panda-nın təhlilində bu il ABŞ-da yerləşən hüquq, texnologiya və istehsalat qurumlarında VMware vCenter mühitlərini hədəf alan və BRICKSTORM-un yerləşdirilməsinə səbəb olan çoxsaylı müdaxilələri aşkar etdiyini bildirib. Qrupun ən azı 2022-ci ildən fəaliyyət göstərdiyi güman edilir.

CrowdStrike-ın bildirdiyinə görə, Warp Panda yüksək səviyyədə texniki biliklərə, qabaqcıl əməliyyat təhlükəsizliyi (OPSEC) bacarıqlarına və bulud və virtual maşın (VM) mühitləri haqqında geniş biliyə malikdir. Warp Panda yüksək səviyyədə gizliliyə nümayiş etdirir və demək olar ki, təhlükəyə məruz qalmış şəbəkələrə davamlı, uzunmüddətli, gizli girişin qorunmasına diqqət yetirir.

Junction və GuestConduit implantları

Sübutlar göstərir ki, haker qrupu 2023-cü ilin sonlarında bir quruma ilkin giriş əldə edib. Hücumlarda BRICKSTORM ilə yanaşı, ESXi hostlarında və qonaq VM-lərdə Junction və GuestConduit adlı əvvəllər sənədləşdirilməmiş iki Golang implantı da yerləşdirilib.

Junction, daxil olan sorğuları dinləmək üçün HTTP serveri kimi fəaliyyət göstərir və əmrləri yerinə yetirmək, şəbəkə trafikini proksi etmək və VM socketləri (VSOCK) vasitəsilə qonaq VM-ləri ilə qarşılıqlı əlaqədə olmaq üçün geniş imkanları dəstəkləyir. Digər tərəfdən, GuestConduit, qonaq VM daxilində yerləşən və 5555 portunda VSOCK dinləyicisi yaradan şəbəkə trafikini tunelləşdirən implantdır. Onun əsas vəzifəsi qonaq VM-ləri və hipervizorlar arasında əlaqəni asanlaşdırmaqdır.

Giriş üsulları və lateral hərəkət

İlkin giriş üsulları, ya etibarlı etimadnamələrdən istifadə edərək, ya da vCenter zəifliklərindən sui-istifadə edərək vCenter mühitlərinə keçmək üçün internetə çıxışlı kənar cihazların istismarını əhatə edir. Yan hərəkət SSH və imtiyazlı vCenter idarəetmə hesabı "vpxuser" istifadə edilərək əldə edilir. Haker qrupu həmçinin hostlar arasında məlumatları köçürmək üçün Təhlükəsiz Fayl Transfer Protokolundan (SFTP) istifadə edib.

İstismar edilən zəifliklərdən bəziləri aşağıda sadalanıb:

• CVE-2023-46805
• CVE-2024-21887
• CVE-2024-21893

Bütün modus operandi loqları təmizləməklə, faylları vaxtdamğalamaqla və istifadə edildikdən sonra söndürülən quldur VM-lər yaratmaqla gizliliyi qorumaq ətrafında cəmlənir. BRICKSTORM, zərərsiz vCenter prosesləri kimi maskalanaraq, trafikin vCenter serverləri, ESXi hostları və qonaq VM-ləri vasitəsilə tunelləşdirilməsi üçün istifadə olunur.

Domen nəzarətçisi VM-lərinin klonlanması və məlumat əldə etmə

CISA tərəfindən paylaşılan təfərrüatlara bənzər şəkildə, CrowdStrike qeyd edib ki, hücum edənlər Aktiv Directory Domen Xidmətləri verilənlər bazasını toplamaq üçün mümkün cəhd olaraq domen nəzarətçisi VM-lərini klonlamaq üçün vCenter serverlərinə girişlərindən istifadə ediblər. Təhdid aktorlarının həmçinin Çin hökumətinin maraqlarına uyğun sahələrdə çalışan işçilərin e-poçt hesablarına daxil olduğu görülüb.

Asiya Sakit Okeanı regionunda kəşfiyyat

CrowdStrike-ın bildirdiyinə görə, Warp Panda, təhlükəyə məruz qalmış şəbəkələrdən birinə girişlərindən Asiya Sakit Okeanı hökumət qurumuna qarşı ibtidai kəşfiyyatda iştirak etmək üçün istifadə edib. Onlar həmçinin müxtəlif kiber təhlükəsizlik bloqlarına və Mandarin dilində GitHub deposuna qoşulublar.

Bulud mühitlərində qalıcılıq

Warp Panda-nın fəaliyyətinin digər əhəmiyyətli aspekti bulud mühitlərində qalıcılığı yaratmağa və həssas məlumatlara daxil olmağa diqqət yetirməsidir. CrowdStrike, onu "bulud şüurlu düşmən" kimi xarakterizə edərək, hücum edənlərin OneDrive, SharePoint və Exchange-də saxlanılan məlumatlara daxil olmaq üçün qurumların Microsoft Azure mühitlərinə girişlərindən sui-istifadə etdiyini bildirib.

Sessiya replesi hücumları və M365 xidmətlərinə giriş

Ən azı bir hadisədə hakerlər, istifadəçi brauzer fayllarını çıxararaq və trafik tunellərini BRICKSTORM implantları vasitəsilə yönləndirərək, istifadəçi sessiya tokenlərini əldə etməyi bacarıblar ki, bu da sessiya replesi hücumu vasitəsilə Microsoft 365 xidmətlərinə daxil olmaq və təşkilatın şəbəkə mühəndisliyi və insidentlərə cavab qrupları ilə əlaqəli SharePoint fayllarını yükləmək imkanı yaradıb.

Əlavə qalıcılıq üsulları və sui-istifadə

Hücum edənlər həmçinin ilkin olaraq istifadəçi hesabına daxil olduqdan sonra Authenticator proqramı kodu vasitəsilə yeni çoxfaktorlu identifikasiya (MFA) cihazı qeydiyyatdan keçirməklə qalıcılığı qurmaq üçün əlavə yollarla məşğul olublar. Başqa bir müdaxilədə xidmət əsaslarını, proqramları, istifadəçiləri, qovluq rollarını və e-poçtları sadalamaq üçün Microsoft Graph API istifadə edilib.

Hədəf region və strateji maraqlar

CrowdStrike-ın bildirdiyinə görə, düşmən əsasən Şimali Amerikadakı qurumları hədəf alır və güman ki, ÇXR-in strateji maraqlarına uyğun kəşfiyyat toplama səylərini dəstəkləmək üçün təhlükəyə məruz qalmış şəbəkələrə davamlı, gizli girişini qoruyur.

24 saat