Специалисты Google Threat Intelligence Group (GTIG) сообщили о масштабной шпионской операции, где предположительно подконтрольная Китаю группировка UNC5221 применяла бэкдор Brickstorm для компрометации организаций в США. По оценке исследователей, злоумышленники оставались незамеченными в инфраструктуре жертв в среднем 393 дня, что указывает на высокую операционную дисциплину и качественную маскировку.
Что такое Brickstorm и чем он опасен
Brickstorm — это написанный на Go многофункциональный бэкдор, впервые зафиксированный Google в апреле 2024 года. Он совмещает роли веб-сервера, средства управления файлами, дроппера, SOCKS-релея и исполнителя команд оболочки. Такой набор функций позволяет одновременно организовывать устойчивую связь с командным сервером (C2), выполнять постэксплуатационные действия и незаметно выносить данные.
Цели атак: технологии, юрфирмы, SaaS и BPO
По данным GTIG, под удар попали неназванные организации в технологическом и юридическом секторах, а также поставщики SaaS и компании BPO. Компрометация таких игроков создает эффект домино в цепочках поставок: доступ к их средам и репозиториям помогает злоумышленникам готовить 0-day эксплойты, расширять доступ к клиентам и партнерам и проводить атаки на менее защищенные нижестоящие цели.
Вектор доступа и уклонение от обнаружения
Хотя окончательный первичный вектор не установлен, аналитики предполагают эксплуатацию 0-day уязвимостей на пограничных устройствах. Кластер UNC5221 ранее связывали с атаками на продукты Ivanti и использованием кастомных образцов Spawnant и Zipline, что подтверждает компетенции в эксплуатации edge-инфраструктуры.
После закрепления Brickstorm развертывался на системах без EDR-мониторинга, в том числе на VMware vCenter/ESXi. Для сокрытия C2-коммуникаций применялась мимикрия под трафик легитимных сервисов, таких как Cloudflare и Heroku. Это снижало вероятность детектирования по сетевым индикаторам и усложняло корреляцию событий.
Тактика на vCenter/ESXi и кража учетных данных
Для повышения привилегий на vCenter оператор использовал вредоносный Java Servlet Filter (Bricksteal) с целью перехвата учетных данных. Отмечена тактика клонирования виртуальных машин Windows Server ради извлечения секретов. Похищенные данные аутентификации применялись для бокового перемещения и закрепления: включение SSH на ESXi, модификация скриптов запуска init.d и systemd.
Ключевой задачей кампании была кража корпоративной электронной почты через Microsoft Entra ID Enterprise Apps. Для туннелирования во внутренние ресурсы злоумышленники поднимали SOCKS-прокси, скрывая следы и обходя сетевые ограничения.
Анти-форензика и уникальность инфраструктуры
UNC5221 использовала скрипты анти-форензики и по завершении операции удаляла артефакты, затрудняя ретроспективный анализ. Дополнительно группа не повторяет домены C2 и образцы малвари, что значительно снижает эффективность статических индикаторов компрометации.
Инструменты защиты и ограничения детекции
Mandiant выпустила бесплатный скрипт-сканер на базе YARA для обнаружения Brickstorm на Linux и BSD. Также доступны правила для Bricksteal и Slaystyle. Однако эксперты предупреждают: инструмент не гарантирует обнаружение всех вариантов, не охватывает механизмы закрепления и не выявляет уязвимые устройства.
Практические рекомендации для SOC и ИБ-команд
Усилить защиту периметра: оперативно патчить edge-устройства (включая шлюзы и VPN), ограничивать доступ к админ-интерфейсам по IP и MFA, активировать журналы с удаленной отправкой и контролем целостности.
Мониторинг vCenter/ESXi: аудит цепочки фильтров сервлетов в vCenter, отслеживание включения SSH на ESXi, оповещения по изменениям init.d/systemd, контроль нетипичных исходящих соединений к Cloudflare/Heroku с гипервизоров и оркестраторов.
Защита Entra ID и почты: проверка Enterprise Apps и делегированных согласий, включение журналов доступа, условный доступ и MFA, ограничение OAuth-права доступа с регулярным ревью.
Латеральное перемещение: ротация секретов и сертификатов, сегментация административных зон, запрет интерактивного входа сервисными учетными записями, внедрение EDR/поведенческих сенсоров там, где возможно, включая Linux.
Для дополнительного поиска следов: искать аномалии в трафике SOCKS, нестандартные бинарники Go на серверах без дев-стека, а также несвойственные обращения к внешним CDN-сервисам из зон управления виртуализацией.
Кампания с Brickstorm подчеркивает смещение фокуса злоумышленников к пограничной инфраструктуре и платформам виртуализации, где традиционные EDR-решения встречаются реже. Организациям рекомендуется пересмотреть модель угроз для vCenter/ESXi и облачных идентификаторов, усилив журналирование, контроль привилегий и мониторинг сетевых аномалий. Использование YARA-сканеров Mandiant уместно как стартовая мера, но надежная защита потребует системных изменений в процессах патчинга, сегментации и реагирования.