Google Threat Intelligence Group повідомила про тривалу кампанію кібершпигунства, в якій імовірно пов’язане з Китаєм угруповання UNC5221 застосовувало багатофункціональний бэкдор Brickstorm для компрометації організацій у США. За оцінкою дослідників, середній час непоміченої присутності становив 393 дні, що свідчить про розвинену операційну дисципліну та ефективне маскування.
Brickstorm: можливості бэкдору та чому він небезпечний
Brickstorm — це інструмент на мові Go, який поєднує функції веб-сервера, керування файлами, дроппера, SOCKS-реле і виконання команд оболонки. Така комбінація дозволяє водночас підтримувати стійкий канал зв’язку з C2, проводити постексплуатаційні дії та непомітно виносити дані з інфраструктури жертв.
Кого атакували: технологічний і юридичний сектори, SaaS та BPO
За даними GTIG, під удар потрапили організації з технологічного та юридичного секторів, а також постачальники SaaS і BPO-послуг. Компрометація таких вузлів створює ефект доміно у ланцюгах постачання: доступ до їхніх середовищ і репозиторіїв полегшує підготовку 0-day експлойтів, розширення доступу до клієнтів і проведення подальших атак на менш захищені цілі.
Початковий доступ і ухилення від виявлення
Первинний вектор ще остаточно не встановлено, однак аналітики припускають експлуатацію 0-day уразливостей на edge-пристроях. Раніше кластер UNC5221 пов’язували з атаками на продукти Ivanti та використанням власних інструментів Spawnant і Zipline, що вказує на їхню експертизу в компрометації пограничної інфраструктури.
Після закріплення Brickstorm розгортали на вузлах без EDR-моніторингу, зокрема на VMware vCenter/ESXi. Для маскування командно-контрольних сесій атакувальники імітували трафік легітимних сервісів, таких як Cloudflare і Heroku, що знижувало ймовірність мережевого детектування.
Атаки на vCenter/ESXi та викрадення облікових даних
Для підвищення привілеїв у vCenter застосовувався шкідливий Java Servlet Filter (Bricksteal) для перехоплення облікових даних. Зафіксовано клонування віртуальних машин Windows Server з метою витягу секретів і ключів, після чого викрадені облікові дані використовувалися для латерального переміщення і закріплення: вмикали SSH на ESXi, модифікували init.d та systemd скрипти автозапуску.
Критичною ціллю кампанії була крадіжка корпоративної пошти через Microsoft Entra ID Enterprise Apps. Для тунелювання до внутрішніх ресурсів розгортали SOCKS-проксі, що допомагало уникати мережевих обмежень і приховувати канали доступу.
Антифорензика і особливості інфраструктури
Оператори UNC5221 застосовували сценарії антифорензики та після завершення активності видаляли артефакти, ускладнюючи ретроспективний аналіз. Додатково вони не перевикористовують домени C2 і зразки шкідливого ПЗ, що різко знижує ефективність статичних IOC та підштовхує захисників до поведінкового моніторингу.
Виявлення та обмеження інструментів
Mandiant опублікувала безкоштовний YARA-сканер для виявлення Brickstorm на Linux і BSD, а також правила для Bricksteal і Slaystyle. Водночас експерти попереджають: інструмент не покриває всі варіанти, не охоплює механізми закріплення та не виявляє уразливі edge-пристрої, тож покладатися лише на YARA-сканування недостатньо.
Рекомендації для SOC та ІБ-команд
Зміцнення периметра: оперативно встановлювати патчі на шлюзи, VPN та інші edge-рішення; обмежувати доступ до адмін-інтерфейсів за IP і MFA; вмикати журнали з відправкою на віддалений SIEM і контролем цілісності.
Моніторинг vCenter/ESXi: періодично перевіряти ланцюжок servlet-фільтрів у vCenter; відстежувати увімкнення SSH на ESXi; налаштувати оповіщення щодо змін init.d/systemd; контролювати нетипові вихідні з’єднання з гіпервізорів до Cloudflare/Heroku.
Захист Entra ID та пошти: перегляд Enterprise Apps і делегованих згод; журналювання і використання умовного доступу та MFA; регулярний аудит OAuth-дозволів.
Протидія латеральному руху: ротація секретів і сертифікатів; сегментація адміністраторських зон; заборона інтерактивних входів сервісними акаунтами; розгортання EDR/поведінкових сенсорів, включно з Linux-хостами. Для загроз-хантингу варто шукати аномалії SOCKS-трафіку, незвичні Go-бінарники на серверах без дев-стека та нетипові звернення до CDN із зон керування віртуалізацією.
Кампанія з Brickstorm демонструє зміщення фокуса зловмисників до пограничної інфраструктури та платформ віртуалізації, де традиційний EDR зустрічається рідше. Організаціям варто переглянути модель загроз для vCenter/ESXi і хмарних ідентифікаторів, посилити журналювання, контроль привілеїв та моніторинг мережевих аномалій. Використання YARA-сканерів Mandiant доцільне як стартовий крок, однак стійкий захист вимагає системних змін у процесах патчингу, сегментації та реагування — почніть з інвентаризації edge-пристроїв і пріоритезації оновлень уже сьогодні.