Группировка VerdantBamboo развёртывает бэкдоры на межсетевых экранах, NAS и системах хранения

Исследователи Volexity опубликовали отчёт о кампании кибершпионажа, в ходе которой группировка, предположительно связанная с Китаем и отслеживаемая как VerdantBamboo, скомпрометировала инфраструктуру организации через её поставщика управляемых услуг (MSP). Атакующие развернули BSD-вариант бэкдора BRICKSTORM на межсетевом экране pfSense провайдера, а затем установили два дополнительных семейства вредоносного ПО — PLENET (GRIMBOLT) и AGENTPSD — на сетевое хранилище Synology NAS жертвы. Кампания затрагивает организации, использующие периферийные устройства без поддержки EDR: межсетевые экраны, NAS-системы и серверы синхронизации файлов.

Хронология и вектор компрометации

По данным Volexity, инцидент был обнаружен в ходе расследования в сентябре 2025 года, однако первоначальная компрометация произошла, по оценкам исследователей, как минимум за 18 месяцев до этого. Цепочка атаки включала несколько этапов:

• Компрометация MSP: атакующие заразили межсетевой экран pfSense управляемого сервис-провайдера BSD-вариантом BRICKSTORM, получив через него доступ к инфраструктуре клиента.
• Эксплуатация Egnyte Storage Sync: на системе синхронизации хранилища жертвы была использована уязвимость локального повышения привилегий для развёртывания BRICKSTORM. Исправление включено в Storage Sync версии 13.13, выпущенной в марте 2026 года.
• Доступ к Microsoft 365: через прокси-возможности BRICKSTORM на скомпрометированной системе синхронизации и украденные учётные данные атакующие получили доступ к облачной среде Microsoft 365, маскируя трафик под легитимный и обходя политики условного доступа.
• Повторное проникновение: после первичного устранения инцидента VerdantBamboo вернулась, используя похищенные административные учётные данные для подключения к межсетевому экрану, настройки SSL VPN и развёртывания вредоносного ПО на Synology NAS.

Примечательно, что доступ к скомпрометированному устройству осуществлялся через IP-адреса, назначенные SSL VPN самой организации-жертвы, что существенно затрудняло обнаружение аномалий в сетевом трафике.

Арсенал вредоносного ПО

На сетевое хранилище Synology NAS через SSH были доставлены два семейства вредоносного ПО:

• PLENET (GRIMBOLT) — кроссплатформенный бэкдор, разработанный на .NET Core с использованием нативной компиляции AOT (ahead-of-time). Представляет собой новую версию BRICKSTORM. Поддерживает интерактивную оболочку, удалённое выполнение команд, манипуляции с файлами и переключение между серверами управления (C2).
• AGENTPSD — обратная оболочка на Python, предположительно выполняющая роль резервного канала доступа на случай отказа основного имплантата.

Использование AOT-компиляции для PLENET заслуживает отдельного внимания: эта техника позволяет создавать автономные исполняемые файлы без зависимости от среды выполнения .NET, что упрощает развёртывание на устройствах с ограниченным программным окружением и затрудняет анализ.

Контекст угрозы и связи

Volexity характеризует VerdantBamboo как высокосложного актора, целенаправленно атакующего устройства, на которых традиционно не устанавливается или не может быть установлено программное обеспечение класса EDR. Группировка демонстрирует глубокое знание проприетарных устройств, разрабатывая индивидуальные механизмы закрепления для каждого скомпрометированного устройства.

Среди характерных признаков операционной дисциплины VerdantBamboo — использование ограниченного числа доменов и IP-адресов на каждую жертву, а также индивидуальная настройка именования имплантатов.

Стоит отметить, что PLENET ранее фигурировал в отчётах в связи с эксплуатацией критической уязвимости CVE-2026-22769 (CVSS 10.0) в Dell RecoverPoint for Virtual Machines, которая, по имеющимся данным, использовалась как уязвимость нулевого дня с середины 2024 года.

Оценка воздействия

Кампания VerdantBamboo представляет высокий риск для организаций по нескольким причинам:

• Атака через цепочку поставок: компрометация MSP даёт атакующим потенциальный доступ ко всем клиентам провайдера, а не только к одной жертве.
• Слепые зоны мониторинга: межсетевые экраны, NAS-устройства и серверы синхронизации файлов, как правило, не покрываются EDR-решениями, что делает их идеальными точками закрепления.
• Длительное присутствие: 18-месячный период скрытого доступа до обнаружения указывает на способность группировки поддерживать устойчивое присутствие в инфраструктуре.
• Устойчивость к реагированию: после первичного устранения инцидента атакующие восстановили доступ через альтернативные каналы, что говорит о наличии множественных точек закрепления.

Наибольшему риску подвержены организации, использующие управляемые сервисы от внешних провайдеров, а также компании с большим парком сетевых устройств без централизованного мониторинга безопасности.

Рекомендации по защите

1. Обновите Egnyte Storage Sync до версии 13.13 или выше, в которой устранена уязвимость повышения привилегий.
2. Проведите аудит межсетевых экранов pfSense на предмет нетипичных процессов, неизвестных исполняемых файлов и подозрительных конфигураций SSL VPN, особенно если устройства управляются внешним MSP.
3. Проверьте NAS-устройства Synology на наличие нехарактерных SSH-подключений, неизвестных бинарных файлов и нестандартных механизмов автозагрузки.
4. Ротируйте все административные учётные данные для сетевых устройств, VPN-шлюзов и облачных сервисов, включая Microsoft 365, особенно если есть подозрение на компрометацию MSP.
5. Внедрите мониторинг сетевого трафика на периферийных устройствах: отслеживайте аномальные исходящие соединения с межсетевых экранов и NAS, а также нетипичное использование SSL VPN.
6. Оцените безопасность MSP: запросите у поставщика управляемых услуг подтверждение проверки целостности инфраструктуры и результаты аудита безопасности.

Кампания VerdantBamboo демонстрирует системный сдвиг в тактике продвинутых группировок — от атак на конечные точки к компрометации сетевых устройств, находящихся вне зоны видимости EDR. Организациям следует в первую очередь провести инвентаризацию всех периферийных устройств — межсетевых экранов, NAS, серверов синхронизации — и обеспечить для них хотя бы базовый мониторинг целостности файловой системы и сетевых соединений, а также немедленно обновить Egnyte Storage Sync и ротировать учётные данные на устройствах, управляемых через MSP.