中国のハッカーと疑われるグループが、米国のテクノロジーおよび法務分野の組織に対し、長期間にわたるスパイ活動でBrickstormマルウェアを使用していました。
BrickstormはGo言語で作られたバックドアで、Googleが2024年4月に公開したもので、中国関連の侵害から発生し、さまざまなエッジデバイスを経由して被害者環境に平均1年以上も検知されずに潜伏していました。
このマルウェアは、ウェブサーバー、ファイル操作ツール、ドロッパー、SOCKSリレー、シェルコマンド実行ツールとして機能しました。
Google Threat Intelligence Group(GTIG)によると、攻撃者はBrickstormを使い、被害者のネットワークから平均393日間もの間、静かにデータを吸い上げていました。
研究者らは、法務およびテクノロジー分野の組織、SaaS(ソフトウェア・アズ・ア・サービス)プロバイダー、さらにBPO(ビジネス・プロセス・アウトソーサー)が侵害されたことを確認しています。
Googleは、このような組織が侵害されることで、攻撃者がゼロデイ脆弱性のエクスプロイトを開発したり、特にEDR(エンドポイント検知・対応)ソリューションで保護されていない下流の被害者へ攻撃を拡大したりする可能性があると指摘しています。
研究者らは、これらの攻撃をUNC5221アクティビティクラスターによるものとし、同グループはIvantiのゼロデイ脆弱性を悪用し、政府機関を攻撃するためにSpawnantやZiplineなどのカスタムマルウェアを使用していることで悪名高いとしています。
Brickstormの活動
被害者システム上での長期間の潜伏や、UNC5221による証拠隠滅スクリプトの使用により、GTIGは初期侵入経路を確実に特定することができませんでしたが、研究者らはエッジデバイスのゼロデイ脆弱性の悪用が関与していると考えています。
BrickstormはEDRがサポートされていないアプライアンス、例えばVMware vCenter/ESXiエンドポイントなどに展開され、CloudflareやHerokuなどの正規トラフィックを装ってC2(コマンド&コントロール)との通信を確立します。
足場を確立した後、攻撃者はvCenter上で悪意あるJava Servlet Filter(Bricksteal)を使って認証情報を取得したり、Windows Serverの仮想マシンをクローンして秘密情報を抽出するなど、権限昇格を試みました。
盗まれた認証情報は、横展開や持続的な侵入のために利用され、ESXiでSSHを有効化したり、init.dやsystemdのスタートアップスクリプトを改変したりします。
Brickstormの主な運用目的は、Microsoft Entra ID Enterprise Appsを通じてメールを外部に持ち出すことであり、SOCKSプロキシを利用して内部システムやコードリポジトリにトンネル接続し、高度なステルス性を維持します。
Googleの観察によれば、UNC5221は開発者、管理者、中国の経済・安全保障上の利益に関わる人物に強い関心を持っていることが示されています。
作戦が完了すると、マルウェアは削除され、フォレンジック調査が困難になります。さらに、UNC5221は同じC2ドメインやマルウェアサンプルを二度と使わないため、調査は一層複雑化します。
防御側を支援するため、MandiantはBrickstorm用YARAルールを再現した無償スキャナスクリプトをLinuxおよびBSDアプライアンス向けに公開しました。BrickstealおよびSlaystyle用のYARAルールもレポートに含まれています。
Mandiantは、このスキャナがすべてのBrickstorm亜種を検出できるわけではなく、100%の侵害検出を保証するものではないこと、持続化メカニズムの検出や脆弱なデバイスの警告も行わないことを警告しています。
