当局は、永続性を維持し防御を回避する能力を示す追加の証拠を提示した。
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、Brickstormマルウェアに関連する脅威活動の新たな分析を公表した。これは、中国と関係する脅威グループが、複数の米国組織に対して数カ月にわたるキャンペーンで使用してきたものだ。
CISAの分析には、新たに入手したBrickstormサンプルに関する侵害指標(IOC)と検知シグネチャが含まれており、その一部はRustプログラミング言語に基づいている。
証拠は、検知を回避するためにバックグラウンドで実行できるというマルウェアの能力を示しているとCISAは警告し、暗号化されたWebSocket接続を用いた高度なコマンド&コントロール機能も実証している。
「進行中の活動の範囲と複雑さを踏まえ、CISAは政府、産業界、国際的なパートナーと引き続き協力し、新たな知見の収集、技術分析の実施、そして発見次第、より広範なサイバーセキュリティコミュニティへの新たな詳細の提供を行っています」と、CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるニック・アンダーセン氏はCybersecurity Diveに語った。「当庁の報告書の更新は、この活動に起因するリスク低減に向けた継続的な取り組みを反映しています。」
CISAは、更新されたガイダンスについて国家安全保障局(NSA)およびカナダ・サイバーセキュリティセンターと協力した。
今月初め、CrowdStrikeの研究者はWarp Pandaとして追跡されている中国と関係する攻撃者 が、法務、製造、テクノロジー企業を含む複数のVMware vCenter環境に対する攻撃でBrickstormマルウェアを展開していると警告した。
Warp Pandaは、vCenter環境を標的にする前に、インターネットに面したエッジデバイスを悪用して初期アクセスを獲得してきた。この脅威アクターは、侵害したネットワーク内で長期的な永続性を維持できている。ある事例では、初期アクセスは2023年に最初に獲得されていた。
「防御側にとっての課題は、Warp Pandaがアイデンティティ、仮想化、クラウドの間の隙間を突いてくる点です」と、CrowdStrikeで対攻撃者オペレーション責任者を務めるアダム・マイヤーズ氏は今月初め、Cybersecurity Diveに語った。
Broadcomは以前、顧客に対し、最新のパッチを維持し、vSphere環境を保護するためのガイダンスに従うよう促していた。
