Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποίησε τους υπερασπιστές του δικτύου για Κινέζους χάκερ που παρακάμπτουν τους διακομιστές VMware vSphere με κακόβουλο λογισμικό Brickstorm.
Σε ένα κοινή έκθεση ανάλυσης κακόβουλου λογισμικού με την Εθνική Υπηρεσία Ασφαλείας (NSA) και το Κέντρο Ασφάλειας Κυβερνοασφαλείας του Καναδά, η CISA λέει ότι ανέλυσε οκτώ δείγματα κακόβουλου λογισμικού Brickstorm.
Αυτά τα δείγματα ανακαλύφθηκαν σε δίκτυα που ανήκουν σε οργανώσεις θυμάτων, όπου οι εισβολείς στόχευαν ειδικά τους διακομιστές VMware vSphere για να δημιουργήσουν κρυφές απατεώνες εικονικές μηχανές για να αποφύγουν τον εντοπισμό και να κλέψουν στιγμιότυπα κλωνοποιημένων εικονικών μηχανών για περαιτέρω κλοπή διαπιστευτηρίων.
Όπως σημειώνεται στη συμβουλή, το Brickstorm χρησιμοποιεί πολλαπλά επίπεδα κρυπτογράφησης, όπως HTTPS, WebSockets και ένθετα TLS για την ασφάλεια των καναλιών επικοινωνίας, έναν διακομιστή μεσολάβησης SOCKS για διοχέτευση σήραγγας και πλευρική κίνηση μέσα σε παραβιασμένα δίκτυα και DNS-over-HTTPS (DoH) για πρόσθετη απόκρυψη. Για να διατηρηθεί η επιμονή, το Brickstorm περιλαμβάνει επίσης μια λειτουργία αυτοελέγχου που επανεγκαθιστά ή επανεκκινεί αυτόματα το κακόβουλο λογισμικό εάν διακοπεί.
Κατά τη διερεύνηση ενός από τα περιστατικά, η CISA διαπίστωσε ότι Κινέζοι χάκερ παραβίασαν έναν διακομιστή ιστού στην αποστρατικοποιημένη ζώνη ενός οργανισμού (DMZ) τον Απρίλιο του 2024, στη συνέχεια μετακινήθηκαν πλευρικά σε έναν εσωτερικό διακομιστή vCenter VMware και ανέπτυξαν κακόβουλο λογισμικό.
Οι εισβολείς παραβίασαν επίσης δύο ελεγκτές τομέα στο δίκτυο του θύματος και εξήγαγαν κρυπτογραφικά κλειδιά μετά από παραβίαση ενός διακομιστή Active Directory Federation Services (ADFS). Το εμφύτευμα Brickstorm τους επέτρεψε να διατηρήσουν την πρόσβαση στα παραβιασμένα συστήματα τουλάχιστον από τον Απρίλιο του 2024 έως τον Σεπτέμβριο του 2025.
Μετά την απόκτηση πρόσβασης στο σύστημα, παρατηρήθηκε επίσης ότι καταγράφουν πληροφορίες βάσης δεδομένων Active Directory και εκτελούν αντίγραφα ασφαλείας του συστήματος για την κλοπή νόμιμων διαπιστευτηρίων και άλλων ευαίσθητων δεδομένων.
Για να ανιχνεύσει την παρουσία των επιτιθέμενων στα δίκτυά τους και να αποκλείσει πιθανές επιθέσεις, η CISA συμβουλεύει τους υπερασπιστές (ειδικά όσους εργάζονται για κρίσιμες υποδομές και κυβερνητικούς οργανισμούς) να σαρώσουν για δραστηριότητα backdoor του Brickstorm χρησιμοποιώντας κανόνες YARA και Sigma που έχουν δημιουργηθεί από την εταιρεία και να αποκλείουν μη εξουσιοδοτημένους παρόχους DNS-over-HTTPS και εξωτερική κίνηση.
Θα πρέπει επίσης να προβαίνουν σε απογραφή όλων των συσκευών αιχμής του δικτύου για να παρακολουθούν για ύποπτη δραστηριότητα και να τμηματοποιούν το δίκτυο για να περιορίζουν την κυκλοφορία από αποστρατιωτικοποιημένες ζώνες σε εσωτερικά δίκτυα.
“Η CISA, η NSA και το Cyber Center παροτρύνουν τους οργανισμούς να χρησιμοποιήσουν τους δείκτες συμβιβασμού (IOC) και τις υπογραφές εντοπισμού σε αυτήν την αναφορά ανάλυσης κακόβουλου λογισμικού για τον εντοπισμό δειγμάτων κακόβουλου λογισμικού BRICKSTORM”, προτρέπει η κοινή συμβουλευτική. “Εάν εντοπιστεί BRICKSTORM, παρόμοιο κακόβουλο λογισμικό ή δυνητικά σχετική δραστηριότητα, η CISA και η NSA προτρέπουν τους οργανισμούς να αναφέρουν τη δραστηριότητα όπως απαιτείται από τη νομοθεσία και τις ισχύουσες πολιτικές.”
Σήμερα, η εταιρεία κυβερνοασφάλειας CrowdStrike επίσης συνδεδεμένες επιθέσεις κακόβουλου λογισμικού Brickstorm στόχευση διακομιστών VMware vCenter στα δίκτυα νομικών, τεχνολογικών και κατασκευαστικών εταιρειών των ΗΠΑ καθ’ όλη τη διάρκεια του 2025 σε μια κινεζική ομάδα hacking που παρακολουθεί ως Warp Panda. Το CrowdStrike παρατήρησε την ίδια ομάδα απειλών να αναπτύσσει προηγουμένως άγνωστα εμφυτεύματα κακόβουλου λογισμικού Junction και GuestConduit σε περιβάλλοντα VMware ESXi.
Η κοινή συμβουλή έρχεται μετά από μια έκθεση της Google Threat Intelligence Group (GTIG) που δημοσιεύθηκε τον Σεπτέμβριο, η οποία περιέγραφε πώς ύποπτοι Κινέζοι χάκερ χρησιμοποίησαν το κακόβουλο λογισμικό Brickstorm (το πρώτο τεκμηριωμένο από τη θυγατρική της Google Mandiant τον Απρίλιο του 2024) να αποκτήσει μακροπρόθεσμη επιμονή στα δίκτυα πολλών αμερικανικών οργανισμών στον τεχνολογικό και νομικό τομέα.
Οι ερευνητές ασφαλείας της Google συνέδεσαν αυτές τις επιθέσεις με το σύμπλεγμα κακόβουλων δραστηριοτήτων UNC5221, που είναι γνωστό ότι εκμεταλλεύεται το Ivanti zero-days για να στοχεύει κυβερνητικές υπηρεσίες με προσαρμοσμένο κακόβουλο λογισμικό Spawnant και Zipline.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
