La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó detalles de una puerta trasera mencionada el jueves TORMENTA DE LADRILLOS Esto ha sido utilizado por actores de amenazas patrocinados por el estado de la República Popular China (RPC) para mantener los sistemas comprometidos a largo plazo.
“BRICKSTORM es una puerta trasera sofisticada para entornos VMware vSphere y Windows”, dijo la agencia. “BRICKSTORM permite a los actores de amenazas cibernéticas mantener un acceso sigiloso y proporciona iniciación, persistencia y capacidades seguras de comando y control”.
Escrito en Golang, el implante personalizado esencialmente proporciona a los actores maliciosos acceso interactivo al sistema, permitiéndoles explorar, cargar, descargar, crear, eliminar y editar archivos.
El malware, que se utiliza principalmente en ataques contra gobiernos y sectores de tecnología de la información (TI), también admite múltiples protocolos como HTTPS, WebSockets y Nested Transport Layer Security (TLS) para comando y control (C2), DNS sobre HTTPS (DoH) para ocultar las comunicaciones e interferir con el tráfico normal, y puede actuar como un proxy SOCKS para facilitar los movimientos laterales.
La agencia de ciberseguridad no reveló cuántas agencias gubernamentales se vieron afectadas ni qué tipo de datos fueron robados. La actividad representa una evolución táctica continua por parte de los grupos de hackers chinos a medida que continúan atacando dispositivos de red de borde para penetrar redes e infraestructura de nube.
En una declaración compartida con Reuters, un portavoz de la embajada china en Washington negó las acusaciones y dijo que el gobierno chino “no fomenta, apoya ni tolera los ciberataques”.
BRICKSTORM fue documentado por primera vez por Google Mandiant en 2024 en ataques relacionados con la explotación de día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). El uso del malware se ha atribuido a dos grupos rastreados como UNC5221 y a un nuevo adversario de China Nexus rastreado por CrowdStrike como Warp Panda.
A principios de septiembre, Mandiant y Google Threat Intelligence Group (GTIG) anunciaron que habían observado que los servicios legales, los proveedores de software como servicio (SaaS), los subcontratistas de procesos comerciales (BPO) y los sectores tecnológicos en los EE. UU. estaban siendo atacados por UNC5221 y otros grupos de actividades de amenazas estrechamente relacionados utilizados para propagar el malware.
Una característica clave del malware, según CISA, es su capacidad de reinstalarse o reiniciarse automáticamente mediante una función de autocontrol, lo que permite un funcionamiento continuo incluso en caso de posibles interrupciones.
En un caso descubierto en abril de 2024, los actores de amenazas supuestamente accedieron a un servidor web en la zona desmilitarizada (DMZ) de una organización a través de un shell web antes de moverse lateralmente a un servidor interno VMware vCenter e implantar BRICKSTORM. Sin embargo, aún se desconocen muchos detalles, incluido el vector de acceso original utilizado en el ataque y cuándo se implementó el shell web.
También se descubrió que los atacantes estaban explotando el acceso para obtener credenciales de cuentas de servicio y utilizando el Protocolo de escritorio remoto (RDP) para moverse lateralmente a un controlador de dominio en la DMZ para capturar información de Active Directory. Durante el transcurso de la intrusión, los actores de amenazas lograron obtener credenciales para una cuenta de Proveedor de Servicios Administrados (MSP), que luego se utilizó para saltar desde el controlador de dominio interno al servidor VMware vCenter.
CISA dijo que los actores también se movieron lateralmente desde el servidor web usando Server Message Block (SMB) a dos servidores Jump y un servidor Active Directory Federation Services (ADFS) y exfiltraron claves criptográficas de este último. El acceso a vCenter finalmente permitió al atacante implementar BRICKSTORM después de elevar sus privilegios.
“BRICKSTORM utiliza controladores personalizados para configurar un proxy SOCKS, crear un servidor web en el sistema comprometido y ejecutar comandos en el sistema comprometido”, decía. Algunos artefactos están “diseñados para su uso en entornos virtualizados y utilizan una interfaz de socket virtual (VSOCK) para permitir la comunicación entre VM (máquinas virtuales), facilitar la filtración de datos y mantener la persistencia”.
Warp Panda utiliza BRICKSTORM contra empresas estadounidenses
CrowdStrike dijo en su análisis de Warp Panda que había descubierto múltiples ataques a entornos VMware vCenter en empresas legales, tecnológicas y de fabricación con sede en Estados Unidos este año que llevaron al uso de BRICKSTORM. Se cree que el grupo ha estado activo desde al menos 2022.
“Warp Panda demuestra un alto nivel de sofisticación técnica, competencias avanzadas de seguridad operativa (OPSEC) y un amplio conocimiento de los entornos de nube y máquinas virtuales (VM)”, dijo la compañía. “Warp Panda demuestra un alto nivel de sigilo y es casi seguro que se centra en mantener un acceso encubierto, persistente y a largo plazo a las redes comprometidas”.
Hay evidencia de que el grupo de hackers obtuvo acceso por primera vez a una entidad a fines de 2023. Además de BRICKSTORM, los ataques también utilizaron dos implantes Golang previamente no documentados, a saber, Junction y GuestConduit, en hosts ESXi y máquinas virtuales invitadas, respectivamente.
Junction actúa como un servidor HTTP que escucha las solicitudes entrantes y admite una variedad de funciones para ejecutar comandos, enviar proxy al tráfico de red e interactuar con máquinas virtuales invitadas a través de sockets de máquina virtual (VSOCK). GuestConduit, por otro lado, es un implante de túnel de tráfico de red que reside en una máquina virtual invitada y configura un escucha VSOCK en el puerto 5555. Su función principal es facilitar la comunicación entre las máquinas virtuales invitadas y los hipervisores.
Los métodos de acceso inicial explotan los dispositivos perimetrales conectados a Internet para migrar a entornos de vCenter, ya sea utilizando credenciales válidas o explotando las vulnerabilidades de vCenter. El movimiento lateral se logra mediante SSH y la cuenta de administración privilegiada de vCenter “vpxuser”. El equipo de piratería también utilizó el Protocolo seguro de transferencia de archivos (SFTP) para transferir datos entre hosts.
Algunas de las vulnerabilidades explotadas se enumeran a continuación:
Todo el modus operandi gira en torno a mantener el sigilo eliminando registros, marcando la hora de los archivos y creando máquinas virtuales no deseadas que se apagan después de su uso. BRICKSTORM, que se hace pasar por procesos inofensivos de vCenter, se utiliza para canalizar el tráfico a través de vCenter Servers, hosts ESXi y máquinas virtuales invitadas.
Al igual que CISA, CrowdStrike descubrió que los atacantes utilizaron su acceso a vCenter Servers para clonar máquinas virtuales de controlador de dominio, posiblemente para acceder a la base de datos de Active Directory Domain Services. También se vio a los actores de amenazas accediendo a las cuentas de correo electrónico de empleados que trabajan en áreas alineadas con los intereses del gobierno chino.
“Warp Panda probablemente utilizó su acceso a una de las redes comprometidas para realizar un reconocimiento rudimentario contra una entidad gubernamental en la región de Asia y el Pacífico”, dijo la compañía. “También se conectaron a varios blogs de ciberseguridad y a un repositorio GitHub en idioma mandarín”.
Otro aspecto importante de las actividades de Warp Panda es el enfoque en establecer persistencia en entornos de nube y acceso a datos confidenciales. CrowdStrike, llamándolo un “adversario consciente de la nube”, dijo que los atacantes explotaron su acceso a los entornos Microsoft Azure de las empresas para acceder a los datos almacenados en OneDrive, SharePoint y Exchange.
En al menos un incidente, los piratas informáticos lograron obtener tokens de sesión de los usuarios, probablemente extrayendo los archivos del navegador de los usuarios y canalizando el tráfico a través de implantes BRICKSTORM para acceder a los servicios de Microsoft 365 a través de un ataque de reproducción de sesión y descargar archivos de SharePoint relacionados con los equipos de ingeniería de red y respuesta a incidentes de la empresa.
Los atacantes también utilizaron otras formas de establecer la persistencia, como registrar un nuevo dispositivo de autenticación multifactor (MFA) a través de un código de aplicación de autenticación después del primer inicio de sesión en una cuenta de usuario. Otra infracción utilizó la API de Microsoft Graph para enumerar principales de servicios, aplicaciones, usuarios, roles de directorio y correos electrónicos.
“El atacante apunta principalmente a empresas en América del Norte y mantiene un acceso encubierto continuo a las redes comprometidas, probablemente apoyando la recopilación de información consistente con los intereses estratégicos de la República Popular China”, dijo CrowdStrike.
About The Author
