中国のサイバー脅威アクターが、最近発見されたバックドアを展開し、さまざまな分野の米国組織のシステムに足場を築いたと疑われています。
Google Threat Intelligence Group(GITG)が2024年9月24日に公開したレポートによると、脅威アクターは少なくとも2025年3月以降、「BRICKSTORM」と呼ばれるバックドアを侵入キャンペーンで使用しています。
主な標的は、米国の法律事務所やテクノロジー企業、SaaS(ソフトウェア・アズ・ア・サービス)プロバイダー、アウトソーシング企業です。
GITGの研究者らは、これらの攻撃の動機について「通常のスパイ活動を超え、ゼロデイ開発のためのデータ提供や、さらなる被害者へのアクセス拡大の足掛かりを確立することにある可能性がある」と指摘しています。
多くの場合、脅威アクターは被害組織内の重要人物のメールに特に関心を持ち、これらのメールからファイルを抜き取ることもありました。
Googleは、これらのキャンペーンをUNC5221に帰属させており、同グループはネットワーク機器を標的としたゼロデイ脆弱性の悪用など、高度な能力を持つ中国系脅威クラスターとされています。
他のセキュリティベンダーはUNC5221とSilk Typhoonを同一グループと見なしていますが、GTIGは現在、両者を別の存在として追跡しています。
米国組織を狙った高度なキャンペーン
Googleのレポートは、BRICKSTORMキャンペーンのGTIGによる調査が、脅威アクターによる攻撃チェーン全体の迅速な展開により、特に困難だったと指摘しています。
「多くの場合、平均潜伏期間が393日に及び、ログの保持期間を超えてしまい、初期侵入の痕跡が既に入手できなくなっていた」と研究者は記しています。
それでもなお、UNC5221が永続性を維持し、従来のセキュリティツールによる検知を最小限に抑えるため、さまざまな高度な手法を用いていたことが判明しました。
これらには以下が含まれます:
- 初期アクセス:ゼロデイ脆弱性の悪用
- 足場の確立:従来のエンドポイント検知・対応(EDR)ツールが対応していないアプライアンス(例:VMware vCenterやESXiホスト)へのBRICKSTORMの展開
- 権限昇格:インメモリServletフィルターインジェクション、HTTPベーシック認証を利用した認証情報の収集、MFA保護の回避、重要サーバーのVMクローン作成、Delinea Secret Serverの標的化、自動シークレット窃取ツールの実行
- 横展開:ボールトやスクリプトからの認証情報再利用
- 永続化の確立:init.d、rc.local、systemdファイルの変更により、アプライアンス再起動時にBRICKSTORMが起動するよう設定
- ミッション完了:Microsoft Entra ID Enterprise Applicationsのmail.readまたはfull_access_as_appスコープを悪用し、標的アカウントのメールボックスへアクセス
BRICKSTORMバックドアの内部
BRICKSTORMのフォレンジック分析
BRICKSTORMは、VMware vCenterサーバーを標的としたGo製のバックドアです。
2024年4月に公開されたGoogleの以前のレポートによると、このバックドアは自身をWebサーバーとして設定したり、ファイルシステムやディレクトリの操作、ファイルのアップロード/ダウンロード、シェルコマンドの実行、SOCKSリレーの実行などが可能です。
BRICKSTORMは、ハードコードされたコマンド&コントロール(C2)サーバーとWebSocket経由で通信します。
実行時、BRICKSTORMは環境変数WRITE_LOGをチェックし、ファイルを子プロセスとして実行する必要があるかどうかを判断します。この変数がfalseまたは未設定の場合、/home/vsphere-ui/vcliから/opt/vmware/sbinにBRICKSTORMサンプルをvami-httpdとしてコピーし、コピーしたサンプルを実行して終了します。
WRITE_LOGがtrueに設定されている場合、正しいプロセスとして実行されていると見なし、/opt/vmware/sbin/vami-httpdを削除して処理を継続します。
BRICKSTORMにはWatcherという独立した関数があり、自己監視機能を持ちます。環境変数WORKERがfalseまたは未設定の場合、監視を継続し、/home/vsphere-ui/vcliファイルをチェックして内容を/opt/vmware/sbin/vami-httpdにコピーします。その後、適切な環境変数を設定し、プロセスを生成します。ウォッチャープロセスは子プロセスの終了ステータスを監視し始めます。
環境変数WORKERがtrueに設定されている場合、バックドア機能を実行するために生成されたワーカープロセスであると見なし、Watcher関数の残りの処理をスキップします。
BRICKSTORMはC2とWebSocketで通信します。このサンプルには、wss://opra1.oprawh.workers[.]devというハードコードされたWebSocketアドレスが含まれています。さらに、以下の正規のDNS over HTTPS(DoH)アドレスも含まれています。
BRICKSTORMの展開
通常、脅威アクターはネットワークアプライアンスにバックドアを展開してから、VMwareシステムへと横展開します。
ハッカーは、その後、ネットワークアプライアンス上で動作するマルウェアによって取得されたとみられる有効な認証情報を用いて、環境内のvCenterサーバーに横展開します。
2025年4月、欧州のサイバーセキュリティ企業NVISOは、Windows環境に影響を与える2つの新しいBRICKSTORMサンプルを発見しました。
NVISOによると、これらのサンプルは少なくとも2022年からWindows経由で欧州組織をスパイするために使用されていたとのことです。
GoogleはNVISOのレポートを認めていますが、これまでの調査でBRICKSTORMのWindows向け亜種は確認されていないと述べています。
GoogleのMandiantは、*nixベースのアプライアンスや他のシステムでYARAのインストールを必要とせずに実行できるスキャナースクリプトを公開しています。
このツールは、バックドア特有の文字列や16進パターンの組み合わせを検索することで、特定のYARAルール(G_APT_Backdoor_BRICKSTORM_3)を再現するよう設計されています。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-hackers-brickstorm/