Дослідники Volexity оприлюднили звіт про кампанію кібершпигунства, в ході якої угруповання, імовірно пов’язане з Китаєм і відстежуване як VerdantBamboo, скомпрометувало інфраструктуру організації через її постачальника керованих послуг (MSP). Зловмисники розгорнули BSD-варіант бекдора BRICKSTORM на мережевому екрані pfSense провайдера, а потім установили два додаткові сімейства шкідливого ПЗ — PLENET (GRIMBOLT) і AGENTPSD — на мережевому сховищі Synology NAS жертви. Кампанія зачіпає організації, що використовують периферійні пристрої без підтримки рішень класу EDR: мережеві екрани, NAS-системи та сервери синхронізації файлів.
Хронологія та вектор компрометації
За даними Volexity, інцидент виявили під час розслідування у вересні 2025 року, однак первинна компрометація, за оцінками дослідників, сталася щонайменше за 18 місяців до цього. Ланцюжок атаки включав кілька етапів:
- Компрометація MSP: зловмисники заразили мережевий екран pfSense керованого сервіс-провайдера BSD-варіантом BRICKSTORM, отримавши через нього доступ до інфраструктури клієнта.
- Експлуатація Egnyte Storage Sync: у системі синхронізації сховища жертви було використано вразливість локального підвищення привілеїв для розгортання BRICKSTORM. Виправлення включено до Storage Sync версії 13.13, реліз якої відбувся в березні 2026 року.
- Доступ до Microsoft 365: через проксі-можливості BRICKSTORM на скомпрометованій системі синхронізації та викрадені облікові дані зловмисники отримали доступ до хмарного середовища Microsoft 365, маскуючи трафік під легітимний та обходячи політики умовного доступу.
- Повторне проникнення: після первинної ліквідації інциденту VerdantBamboo повернулася, скориставшись викраденими адміністративними обліковими даними для підключення до мережевого екрана, налаштування SSL VPN і розгортання шкідливого ПЗ на Synology NAS.
Показово, що доступ до скомпрометованого пристрою здійснювали через IP-адреси, призначені SSL VPN самої організації-жертви, що суттєво ускладнювало виявлення аномалій у мережевому трафіку.
Арсенал шкідливого ПЗ
На мережеве сховище Synology NAS через SSH було доставлено два сімейства шкідливого ПЗ:
- PLENET (GRIMBOLT) — кросплатформний бекдор, створений на .NET Core із використанням нативної компіляції AOT (ahead-of-time). Є новою версією BRICKSTORM. Підтримує інтерактивну оболонку, віддалене виконання команд, операції з файлами та перемикання між серверами керування (C2).
- AGENTPSD — зворотна оболонка на Python, що, імовірно, виконує роль резервного каналу доступу на випадок відмови основного імплантата.
Застосування AOT-компіляції для PLENET заслуговує на окрему увагу: ця техніка дає змогу створювати автономні виконувані файли, що не залежать від середовища виконання .NET, що спрощує розгортання на пристроях з обмеженим програмним оточенням і ускладнює аналіз.
Контекст загрози та зв’язки
Volexity характеризує VerdantBamboo як висококваліфікованого актора, що цілеспрямовано атакує пристрої, на які традиційно не встановлюють або не можуть встановити програмне забезпечення класу EDR. Угруповання демонструє глибоке розуміння пропрієтарних пристроїв, розробляючи індивідуальні механізми закріплення для кожного скомпрометованого пристрою.
До характерних рис операційної дисципліни VerdantBamboo належать використання обмеженої кількості доменів та IP-адрес для кожної жертви, а також індивідуальне налаштування схем найменування імплантатів.
Варто зазначити, що PLENET раніше фігурував у звітах у зв’язку з експлуатацією критичної вразливості CVE-2026-22769 (CVSS 10.0) у Dell RecoverPoint for Virtual Machines, яку, за наявними даними, використовували як вразливість нульового дня з середини 2024 року.
Оцінка впливу
Кампанія VerdantBamboo становить високий ризик для організацій з кількох причин:
- Атака через ланцюг постачання: скомпрометований MSP надає зловмисникам потенційний доступ до всіх клієнтів провайдера, а не лише до однієї жертви.
- Сліпі зони моніторингу: мережеві екрани, NAS-пристрої та сервери синхронізації файлів, як правило, не охоплюються рішеннями EDR, що робить їх ідеальними точками закріплення.
- Тривала присутність: 18-місячний період прихованого доступу до виявлення свідчить про здатність угруповання підтримувати сталу присутність в інфраструктурі.
- Стійкість до заходів реагування: після первинної ліквідації інциденту зловмисники відновили доступ через альтернативні канали, що свідчить про наявність множинних точок закріплення.
Найбільшому ризику піддаються організації, які використовують керовані сервіси від зовнішніх провайдерів, а також компанії з великим парком мережевих пристроїв без централізованого моніторингу безпеки.
Рекомендації щодо захисту
- Оновіть Egnyte Storage Sync до версії 13.13 або вище, у якій усунуто вразливість підвищення привілеїв.
- Проведіть аудит мережевих екранів pfSense на предмет нетипових процесів, невідомих виконуваних файлів і підозрілих конфігурацій SSL VPN, особливо якщо пристрої перебувають в управлінні зовнішнього MSP.
- Перевірте NAS-пристрої Synology на наявність нетипових SSH-підключень, невідомих двійкових файлів і нестандартних механізмів автозавантаження.
- Замініть усі адміністративні облікові дані для мережевих пристроїв, VPN-шлюзів і хмарних сервісів, зокрема Microsoft 365, особливо якщо є підозра на компрометацію MSP.
- Запровадьте моніторинг мережевого трафіку на периферійних пристроях: відстежуйте аномальні вихідні з’єднання з мережевих екранів і NAS, а також нетипове використання SSL VPN.
- Оцініть безпеку MSP: запросіть у постачальника керованих послуг підтвердження перевірки цілісності інфраструктури та результати аудиту безпеки.
Кампанія VerdantBamboo демонструє системний зсув у тактиці просунутих угруповань — від атак на кінцеві точки до компрометації мережевих пристроїв, що перебувають поза зоною видимості EDR. Організаціям насамперед варто провести інвентаризацію всіх периферійних пристроїв — мережевих екранів, NAS, серверів синхронізації — і забезпечити для них принаймні базовий моніторинг цілісності файлової системи та мережевих з’єднань, а також негайно оновити Egnyte Storage Sync і змінити облікові дані на пристроях, що керуються через MSP.
