米国の法務サービス、ソフトウェア・アズ・ア・サービス(SaaS)プロバイダー、ビジネスプロセスアウトソーサー(BPO)、およびテクノロジー分野の企業が、BRICKSTORMと呼ばれる既知のバックドアを配布するために、中国と関連が疑われるサイバースパイグループの標的となっています。
この活動はUNC5221および密接に関連する中国系と疑われる脅威クラスターに帰属されており、被害組織への1年以上にわたる持続的なアクセスを可能にすることを目的としています。MandiantおよびGoogle Threat Intelligence Group(GTIG)が新たなレポートでThe Hacker Newsに共有しました。
BRICKSTORMがSaaSプロバイダーを標的とする目的は、下流の顧客環境やSaaSプロバイダーが顧客のためにホストしているデータへのアクセスを得ることと評価されています。一方、米国の法務および技術分野を標的とするのは、国家安全保障や国際貿易に関連する情報の収集、ならびにゼロデイエクスプロイト開発を進めるための知的財産の窃取を狙ったものと考えられます。
BRICKSTORMは、Ivanti Connect Secureのゼロデイ脆弱性(CVE-2023-46805およびCVE-2024-21887)の悪用と関連して、昨年テック大手によって初めて文書化されました。また、少なくとも2022年11月以降、ヨーロッパのWindows環境を標的とするためにも使用されています。
Go言語ベースのバックドアであるBRICKSTORMは、自身をウェブサーバーとして設定し、ファイルシステムやディレクトリの操作、ファイルのアップロード/ダウンロード、シェルコマンドの実行、SOCKSリレーとしての動作などの機能を備えています。コマンド&コントロール(C2)サーバーとの通信にはWebSocketsを使用します。
今年初め、米国政府は、中国系とされる脅威クラスターAPT27(別名Emissary Panda)がSilk Typhoon、UNC5221、UTA0178と重複していると指摘しました。しかし、GTIGは当時The Hacker Newsに対し、独自にその関連性を確認する十分な証拠はなく、2つのクラスターとして扱っていると述べました。
「これらの侵入は、従来のエンドポイント検知・対応(EDR)ツールをサポートしないアプライアンスにバックドアを展開することで、長期的かつステルス性の高いアクセスを維持することに特に重点を置いて実施されています」とGTIGは述べ、2025年3月以降、複数の侵入事案に対応したと付け加えています。
「攻撃者は、セキュリティテレメトリをほとんど、あるいは全く生成しない横展開やデータ窃取の手法を用いています。これにBRICKSTORMバックドアの改変が加わることで、被害環境で平均393日間、検知されずに潜伏することが可能となっています。」
少なくとも1件のケースでは、攻撃者が前述のIvanti Connect Secureエッジデバイスのセキュリティ脆弱性を悪用し、初期アクセスを獲得した上で、複数メーカーのLinuxおよびBSDベースのアプライアンスにBRICKSTORMを設置したとされています。
マルウェアが現在も活発に開発されている証拠もあり、あるサンプルには、C2サーバーへの通信を開始する前に数か月先のハードコードされた日付まで待機する「delay」タイマーが搭載されていました。Googleによると、このBRICKSTORMの亜種は、標的組織がインシデント対応を開始した後に内部のVMware vCenterサーバーに展開されており、攻撃グループが持続性を維持するための機動力を示しています。
また、攻撃はApache Tomcatサーバー向けの悪意あるJava Servletフィルター「BRICKSTEAL」を使用し、vCenterの認証情報を取得して権限昇格を行い、その後、ドメインコントローラー、SSOアイデンティティプロバイダー、シークレットボールトなどの主要システム用Windows Server仮想マシンを複製することでも特徴付けられています。
「通常、フィルターのインストールには設定ファイルの変更とアプリケーションの再起動またはリロードが必要ですが、攻撃者は完全にメモリ上で変更を行うカスタムドロッパーを使用し、非常にステルス性が高く、再起動の必要性を排除していました」とGoogleは述べています。
さらに、攻撃者は有効な認証情報を利用して横展開し、VMwareインフラストラクチャへピボットするほか、init.d、rc.local、systemdファイルを改変してアプライアンス再起動時にバックドアが自動的に起動するようにすることで持続性を確立していることが判明しています。
このキャンペーンの主な目的は、被害組織内の開発者、システム管理者、中国の経済的・諜報的利益に合致する事案に関与する人物など、重要人物のメールへアクセスすることです。BRICKSTORMのSOCKSプロキシ機能はトンネルを作成し、攻撃者が関心を持つアプリケーションへ直接アクセスするために利用されます。
Googleはまた、LinuxおよびBSDベースのアプライアンスやシステム上で、マルウェアの既知のシグネチャに一致するファイルを検出することで、BRICKSTORMの影響を受けているかどうかを判断できるシェルスクリプト型スキャナーも開発しています。
「BRICKSTORMキャンペーンは、その高度な手法、先進的な企業セキュリティ防御の回避、高価値ターゲットへの集中という点で重大な脅威となっています」と、Google CloudのMandiant Consulting CTOであるCharles Carmakal氏はThe Hacker Newsに寄せた声明で述べています。
「UNC5221によって得られたアクセス権は、侵害されたSaaSプロバイダーの下流顧客へのピボットや、将来の攻撃に利用可能なエンタープライズ技術のゼロデイ脆弱性の発見を可能にします。組織は、エンドポイント検知・対応(EDR)カバレッジがないシステムに潜むBRICKSTORMや他のバックドアを積極的に調査することを推奨します。」
翻訳元: https://thehackernews.com/2025/09/unc5221-uses-brickstorm-backdoor-to.html