Puerta trasera de BRICKSTORM

Un presunto grupo de ciberespionaje, aliado con China, ha estado atacando a empresas estadounidenses de servicios legales, software como servicio (SaaS), externalización de procesos de negocio (BPO) y tecnología. El objetivo: instalar una puerta trasera de alto rendimiento conocida como BRICKSTORM.

Atribuidas a UNC5221 y a grupos de amenazas estrechamente relacionados, estas intrusiones buscan mantener el acceso persistente a las redes de las víctimas durante más de un año, a menudo dirigido a proveedores de SaaS para acceder a entornos de clientes finales o a datos alojados en su nombre. En los sectores legal y tecnológico, los ataques parecen estar motivados por el robo de propiedad intelectual, inteligencia relacionada con la seguridad nacional e información relevante para el comercio internacional.

BRICKSTORM: La puerta trasera que permanece oculta

Observado por primera vez el año pasado, BRICKSTORM se vinculó con la explotación de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). También ha estado activo en entornos Windows europeos desde al menos noviembre de 2022.

BRICKSTORM, escrito en Go, incluye capacidades para:

• Actuar como un servidor web.
• Manipular sistemas de archivos y directorios.
• Cargar/descargar archivos y ejecutar comandos de shell.
• Operar como un proxy SOCKS.
• Comunicarse con un servidor de comando y control (C2) a través de WebSockets.

El malware está diseñado para evadir la detección, especialmente en dispositivos sin cobertura tradicional de detección y respuesta de endpoints (EDR). Su arquitectura sigilosa permite a los atacantes permanecer sin ser detectados durante un promedio de 393 días.

Técnicas avanzadas de sigilo y persistencia

Los actores de amenazas emplean técnicas altamente sofisticadas de movimiento lateral y persistencia:

Explotación y acceso inicial : Al menos un ataque aprovechó las vulnerabilidades del dispositivo perimetral Ivanti Connect Secure para implementar BRICKSTORM. Otras implementaciones en dispositivos Linux y BSD siguen siendo difíciles de rastrear debido al minucioso borrado de los rastros de actividad por parte de los actores.

Desarrollo ágil de malware : Algunas muestras de BRICKSTORM incluyen un temporizador de "retardo" que pospone la comunicación con los servidores C2 durante meses. En un caso, el malware se implementó en un servidor VMware vCenter después de que comenzara la respuesta a incidentes, lo que demuestra agilidad operativa.

Escalada de privilegios mediante BRICKSTEAL : Se utilizó un filtro de servlets Java malicioso en Apache Tomcat para capturar credenciales de vCenter. Posteriormente, los atacantes clonaron máquinas virtuales de Windows Server para sistemas críticos como controladores de dominio, proveedores de identidad SSO y bóvedas secretas.

Modificaciones en memoria : al usar un cuentagotas personalizado, los atacantes aplicaron cambios de configuración completamente en la memoria, evitando reinicios y detecciones de la aplicación.

Métodos de persistencia : las modificaciones a los archivos init.d, rc.local o systemd, junto con la implementación de shells web JSP como SLAYSTYLE (también conocido como BEEFLUSH), garantizan que BRICKSTORM se reinicie automáticamente al reiniciar el dispositivo y ejecute comandos arbitrarios del sistema operativo.

Objetivos estratégicos e impacto

El objetivo principal de esta campaña es la exfiltración selectiva de datos, centrándose en correos electrónicos y cuentas de desarrolladores, administradores de sistemas y personal involucrado en áreas sensibles afines a los intereses económicos y de espionaje de China. Utilizando la capacidad del proxy SOCKS, los atacantes pueden acceder a aplicaciones de interés y dirigirse a clientes SaaS posteriores o identificar vulnerabilidades de día cero para futuras campañas.

La campaña BRICKSTORM representa una amenaza altamente sofisticada, capaz de eludir las defensas empresariales avanzadas y centrarse en objetivos de alto valor.