中国系とみられるハッカーが、米国のテクノロジーおよび法律分野の組織に対して、長期間にわたる持続的なスパイ活動でBrickstormマルウェアを使用していました。
BrickstormはGo言語で作られたバックドアで、Googleが2024年4月に公開したもので、中国関連の侵入から発生し、さまざまなエッジデバイスを経由して、被害者の環境内で平均1年以上検知されずに潜伏していました。
このマルウェアは、ウェブサーバー、ファイル操作ツール、ドロッパー、SOCKSリレー、シェルコマンド実行ツールとして機能しました。
Google Threat Intelligence Group(GTIG)によると、攻撃者はBrickstormを使い、被害者ネットワークから平均393日間、密かにデータを吸い上げていました。
研究者は、法律およびテクノロジー分野の組織、SaaS(ソフトウェア・アズ・ア・サービス)プロバイダー、そしてBPO(ビジネスプロセスアウトソーサー)が侵害されたことを確認しました。
Googleは、このような組織の侵害は、脅威アクターがゼロデイ脆弱性を開発したり、特にEDR(エンドポイント検知・対応)ソリューションで保護されていない下流の被害者へ攻撃を拡大したりするのに役立つ可能性があると指摘しています。
研究者たちは、これらの攻撃をUNC5221アクティビティクラスターによるものとし、同グループはIvantiのゼロデイ脆弱性を悪用して、政府機関をカスタムマルウェア(SpawnantやZiplineなど)で攻撃したことで悪名高いです。
Brickstormの活動
被害者システム上での長期間の潜伏や、UNC5221による痕跡隠蔽スクリプトの使用により、GTIGは初期侵入経路を特定できませんでしたが、研究者はエッジデバイスのゼロデイ脆弱性が悪用されたと考えています。
Brickstormは、EDRがサポートされていないアプライアンス、たとえばVMware vCenter/ESXiエンドポイントなどに展開され、CloudflareやHerokuなどの正規トラフィックを装いながらC2(コマンド&コントロール)との通信を確立します。
足場を築いた後、攻撃者はvCenter上で悪意のあるJava Servlet Filter(Bricksteal)を使って認証情報を取得したり、Windows Serverの仮想マシンを複製して機密情報を抽出したりすることで権限昇格を試みました。
盗まれた認証情報は、横展開や持続的なアクセスのために利用され、ESXiでSSHを有効化したり、init.dやsystemdの起動スクリプトを改変したりします。
Brickstormの主な作戦目的は、Microsoft Entra ID Enterprise Appsを通じてメールを外部に持ち出すことであり、そのSOCKSプロキシを使って内部システムやコードリポジトリにトンネル接続し、高いステルス性を維持します。
Googleの観察によれば、UNC5221は開発者や管理者、中国の経済・安全保障上の利益に関わる人物に強い関心を持っています。
作戦が完了すると、マルウェアは削除され、フォレンジック調査を妨げます。さらに、UNC5221は同じC2ドメインやマルウェアサンプルを二度と使わないため、調査は一層困難になります。
防御者を支援するため、MandiantはBrickstorm用YARAルールを再現した無料スキャナースクリプトをLinuxおよびBSDアプライアンス向けに公開しています。BrickstealやSlaystyle用のYARAルールもレポートに含まれています。
Mandiantは、このスキャナーがすべてのBrickstorm亜種を検出できるわけではなく、100%の検出を保証するものではないこと、持続化メカニズムの検出や脆弱なデバイスの警告も行わないことを警告しています。
