BRICKSTORMは、モジュール型のリモートアクセス型トロイの木馬(RAT)です。当初はGolangで実装され、後にRustへ移行しました。シェルコマンド、Socks5プロキシ、ファイル一覧表示用の簡易Webサーバーといったプラグイン式「タスク」を備えたwssoftライブラリを使用しています。
本件は、顧客ネットワーク上のLinuxベース仮想マシンアプライアンスから不審なネットワークトラフィックが検出されたことをきっかけに、インシデント対応が開始されました。
当該アプライアンスはEgnyteとの通信を行わず、代わりにCloudflareを経由した攻撃者管理ドメインへ接続し、GoogleのパブリックDNSに対してTLS接続(おそらくDNS over HTTPSを使用)を確立していました。
アプライアンスのスナップショットから侵害が確認されました。Volexityはこの活動を、同社がVerdantBambooと呼ぶ中国系脅威アクター(WARP PANDAまたはUNC5221としても追跡)に帰属させ、BRICKSTORMバックドアをはじめとする各種ツールの存在を確認しました。
侵害されたStorage Syncシステム上で、攻撃者はBRICKSTORMを/usr/sbinに展開し、egnyteserviceアカウントに対する意図しないsudo設定を悪用して手動実行していました。
このsudo設定により、低権限アカウントがrootとしてteeを使用できる状態となっており、攻撃者は保護されたディレクトリへのファイル書き込みが可能でした。さらに、インプラントを起動するためcronジョブを一時的に実行しました。
Volexityは、被害者のマネージドサービスプロバイダー(MSP)が所有するpfSensファイアウォール上でもBRICKSTORMマルウェアの亜種が動作していたことを発見しました。FreeBSD互換のビルドが/usr/local/libexec/ipsecに配置され、永続化のためスタートアップcronに追加されていました。
侵害のタイムラインは少なくとも18ヶ月前にさかのぼります。VerdantBambooはBRICKSTORMのプロキシ機能と窃取した認証情報を活用し、被害者自身のSSL VPN IPアドレスから接続しているように見せかけながら、被害者のMicrosoft 365環境へアクセスしていました。
この手法により、悪意のあるアクセスを正規のVPNトラフィックに紛れ込ませ、不審なログインをブロックするはずの条件付きアクセス制御を回避することに成功しました。
Volexityは、最初の侵害がMSPを介したものである可能性が高いと評価しています。MSPのpfSenseファイアウォールにはWebシェルやBRICKSTORMインプラントなど複数の侵害痕跡が確認されており、攻撃者がMSPの重要システムにルートレベルでアクセスしていたことが示唆されます。
2025年9月、Volexityは顧客ネットワーク上のEgnyte Storage Sync用Linux仮想アプライアンスからの不審なネットワークトラフィックに対応しました。
BRICKSTORMに加え、Volexityはこれまで文書化されていなかった2つのマルウェアファミリーも発見しました。PLENETは.NET Coreで記述されたクロスプラットフォームのバックドアで、Native AOTを使用してネイティブバイナリにコンパイルされています。ランタイムとメタデータが実行ファイルに組み込まれているため、解析が困難な構造となっています。
中国系APT「VerdantBamboo」
PLENETはWebSocketで通信し、インタラクティブシェル、ファイル操作、リモートコマンド実行、C2の切り替えをサポートしています。AGENTPSDはよりシンプルなPythonベースのリバースシェルで、PyInstallerでパッケージ化されています。Volexityは、主要なバックドアが失敗した場合のフォールバックとして機能していたと見ています。
| 名前 | egnyte_host_monitor_client |
| サイズ | 6.4MB (6692728 Bytes) |
| ファイルタイプ | ELF Executable |
| MD5 | 98ee964edeb5a988c3bba8ea1e57fe0e |
| SHA1 | e952c18272efa1c3d73d0a5381bcf443c02743fe |
| SHA256 | ee41e06ed96182ce80cd4544a6abd5d7719c4a5c0e5ddb266a83842d39b99b0a |
攻撃者はバックドアを /usr/local/libexec/ipsec/ ディレクトリに配置し、blacklistという名前を付けていました。
初期対処の後、VerdantBambooは再び活動を再開しました。攻撃者は窃取した管理者認証情報を使用してインターネットに公開されていた組織のファイアウォールWebインターフェースにアクセスし、WebベースのSSL VPNを有効化したうえで、Synology NASへのPLENET展開へと移行しました。
| 名前 | ovs-dbctl |
| サイズ | 2.5MB (2635736 Bytes) |
| ファイルタイプ | ELF Executable |
| MD5 | 95dc2289427ed29b8b996d0e3d1b78cb |
| SHA1 | f8d93c1769e877aae7e7d5c289a467b5ae371c7a |
| SHA256 | eb141a43958802727a6c813452450c10b92704bea4474ee5fd87c0a1be326e2e |
Volexityのフォレンジック調査では、廃止された仮想マシン上にもBRICKSTORMが残存していることが確認され、完全なEDRカバレッジを欠くことが多いアプライアンス全体にわたる永続化メカニズムの存在が判明しました。攻撃者はこの盲点を意図的に利用していました。
Volexityはまた、CensysクエリでBRICKSTORMのC2インフラをフィンガープリントし、攻撃者のサーバーが2025年9月下旬に沈黙したことを観測しました。公開レポートへの対応措置とみられます。
総じて、VerdantBambooは高い運用規律を示しています。エッジアプライアンスとMSPインフラを標的として選び、環境寄生(living-off-the-land)技術を活用しながら、カスタムマルウェアと永続化手法を駆使して長期間にわたる潜伏を実現しています。
組織は管理外のアプライアンスを監視し、管理インターフェースへの多要素認証(MFA)を徹底し、VPNおよびリモート管理の公開範囲を制限するとともに、サプライチェーンアクセスに起因するリスクを低減するためMSPと連携することが求められます。
翻訳元: https://gbhackers.com/chinese-apt-verdantbamboo/
