Google Threat Intelligence meldet eine ausgedehnte Spionagekampagne gegen US-Organisationen, die der mutmaßlich staatsnahen Gruppe UNC5221 zugeschrieben wird. Kern der Operation ist die Backdoor Brickstorm, deren Betreiber im Durchschnitt 393 Tage unentdeckt in Zielumgebungen verweilten – ein Indikator für disziplinierte Operationsführung, effektive Tarnung und robuste Post-Exploitation-Taktiken.
Brickstorm-Backdoor: Go-basierter, multifunktionaler Zugriffstunnel
Brickstorm, erstmals im April 2024 beobachtet, ist in Go entwickelt und vereint Webserver, Dateiverwaltung, Dropper, SOCKS-Relay und Shell-Kommandos in einem Artefakt. Diese Kombination ermöglicht stabile C2-Kommunikation, unauffällige Datenausschleusung sowie flexible Post-Exploitation. Für Verteidiger erschwert der Go-Stack die Signaturbildung, da kompakte statisch gelinkte Binärdateien auf Systemen ohne Dev-Tooling leicht übersehen werden.
Zielsektoren und Lieferkettenrisiken
Betroffen sind nicht näher genannte Organisationen aus dem Technologie- und Rechtssektor sowie SaaS-Anbieter und BPO-Unternehmen. Angriffe auf diese Knotenpunkte haben einen Dominoeffekt in Lieferketten: Zugang zu Quellcode-Repositories, Build-Pipelines und Kundentenants erleichtert die Vorbereitung von 0‑Day-Exploits, das Ausweiten der Zugriffe auf Partner und das Erreichen nachgelagerter, schwächer geschützter Ziele.
Initialzugang und Umgehung von Erkennung
Als wahrscheinlicher Vektor gelten 0‑Day-Schwachstellen in Edge-Systemen. UNC5221 wurde zuvor mit Angriffen auf Ivanti-Produkte und dem Einsatz maßgeschneiderter Tools wie Spawnant und Zipline in Verbindung gebracht – Indizien für ausgeprägte Fähigkeiten in der Ausnutzung von Perimeter- und Gateway-Komponenten. Nach der Erstkompromittierung platzieren die Angreifer Brickstorm bevorzugt auf Hosts ohne EDR, darunter VMware vCenter/ESXi, und tarnen C2-Traffic durch Nachahmung legitimer Dienste wie Cloudflare und Heroku.
Taktiken in vCenter/ESXi und Credential-Diebstahl
Zur Privilegienerweiterung in vCenter kam ein bösartiger Java Servlet Filter (“Bricksteal”) zum Einsatz, um Zugangsdaten abzugreifen. Zusätzlich wurde das Klonen von Windows Server-VMs beobachtet, um Geheimnisse aus Offline-Images zu extrahieren. Gestohlene Credentials dienten dem lateralen Bewegen und der Persistenz, etwa durch das Aktivieren von SSH auf ESXi sowie Änderungen an init.d– und systemd-Startskripten. Ein zentrales Ziel war die Exfiltration von Unternehmens-E-Mails über Microsoft Entra ID Enterprise Apps; hierfür etablierten die Angreifer SOCKS-Proxys, um interne Ressourcen zu tunneln und Netzgrenzen unauffällig zu überwinden.
Anti-Forensik und Infrastrukturhygiene der Angreifer
UNC5221 setzt auf Anti-Forensik-Skripte und bereinigt Artefakte nach Abschluss der Operation. Zudem werden C2-Domains und Malware-Varianten nicht wiederverwendet, wodurch klassische IOCs rasch veralten. In Summe sinkt die Wirksamkeit rein indikatorbasierter Erkennung, und prozedurale/Verhaltens-Detektion gewinnt an Bedeutung.
Detektion, Grenzen und empfohlene Gegenmaßnahmen
Mandiant stellt einen kostenlosen YARA-Scanner für Linux und BSD bereit; es existieren Regeln für Brickstorm, Bricksteal und Slaystyle. Die Abdeckung ist jedoch begrenzt: nicht alle Varianten werden erkannt, Persistenzmechanismen bleiben teils unentdeckt, und Schwachstellen an Edge-Geräten werden nicht identifiziert. Kontextbasierte Telemetrie, Prozess- und Netzwerkverhalten bleiben daher essenziell.
Praxisempfehlungen für SOC- und Blue-Teams
Perimeter hardenen: zeitnahes Patching von Edge-Geräten (VPN, Gateways), Admin-Oberflächen per IP und MFA beschränken, Remote-Logversand mit Integritätskontrolle aktivieren.
vCenter/ESXi überwachen: Audit der Servlet-Filterkette in vCenter, Alarme bei SSH-Aktivierung auf ESXi, Monitoring von Änderungen an init.d/systemd, sowie von ausgehenden Verbindungen zu Cloudflare/Heroku aus Virtualisierungszonen.
Entra ID absichern: Enterprise Apps und delegierte Zustimmungen prüfen, Zugriffs-Logs aktivieren, bedingten Zugriff und MFA erzwingen, OAuth-Berechtigungen restriktiv halten und regelmäßig rezertifizieren.
Seitliche Bewegungen erschweren: Secrets/Certificates rotieren, Admin-Zonen segmentieren, interaktiven Login für Servicekonten unterbinden, EDR/Verhaltenssensoren auch auf Linux einführen. Suchen Sie nach SOCKS-Anomalien, ungewöhnlichen Go-Binärdateien auf Servern ohne Dev-Stack sowie atypischen CDN-Aufrufen aus Managementnetzen.
Die gemeldete Dwell Time von 393 Tagen kontrastiert stark mit dem Median von 10 Tagen in Mandiants M‑Trends 2024, was die Reife der Operation unterstreicht. Organisationen sollten ihre Bedrohungsmodelle für vCenter/ESXi und Cloud-Identitäten aktualisieren, Logging und Privilegienkontrolle ausbauen und verhaltensbasierte Detektion priorisieren. YARA-Scans sind ein sinnvoller Startpunkt, doch belastbare Resilienz erfordert stringentes Patching, Segmentierung und geübte Incident-Response-Prozesse.