Bedrijven in de juridische diensten, software-as-a-service (SaaS) -aanbieders, bedrijfsproces outsourcers (BPOS) en technologische sectoren in de VS zijn het doelwit van een vermoedelijke cyberspionagegroep van China-Nexus om een bekende achterdeur te leveren waarnaar wordt aangeduid als aangeduid als aangeduid als Bakstenen.
De activiteit, toegeschreven aan UNC5221 en nauw verwant, vermoedelijke China-Nexus-dreigingsclusters, is ontworpen om meer dan een jaar aanhoudende toegang tot slachtofferorganisaties te vergemakkelijken, zei Mandiant en Google Threat Intelligence Group (GTIG) in een nieuw rapport gedeeld met het Hacker News.
Er wordt beoordeeld dat het doel van Brickstorm zich richt op SaaS-providers is om toegang te krijgen tot stroomafwaartse klantomgevingen of de data SaaS-providers hosten namens hun klanten, terwijl het richten van de Amerikaanse juridische en technologische sfeer waarschijnlijk een poging is om informatie te verzamelen die verband houdt met nationale veiligheid en internationale handel, evenals steal-intellectuele eigendom om de ontwikkeling van Zero-day te helpen.
Brickstorm werd vorig jaar voor het eerst gedocumenteerd door de tech-gigant in verband met de zero-day exploitatie van Ivanti Connect Secure Zero-Day kwetsbaarheden (CVE-2023-46805 en CVE-2024-21887). Het wordt ook gebruikt om Windows -omgevingen in Europa te richten sinds minstens november 2022.
Een backdoor gebaseerde backdoor, Brickstorm wordt uitgerust met mogelijkheden om zichzelf in te stellen als webserver, bestandssysteem en directorymanipulatie uit te voeren, bestandsbewerkingen uit te voeren zoals upload/download, shell-opdrachten uitvoeren en optreden als een sokkenrelay. Het communiceert met een command-and-control (C2) -server met WebSockets.
Eerder dit jaar merkte de Amerikaanse regering op dat de China-uitgelijnde dreigingscluster volgde als APT27 (aka emissary panda) overlapt met die van zijden typhoon, UNC5221 en UTA0178. Gtig vertelde het hacker -nieuws echter op het moment dat het op zichzelf niet genoeg bewijs heeft om de link te bevestigen en dat het hen als twee clusters behandelt.
“Deze intrusies worden uitgevoerd met een bijzondere focus op het handhaven van stealthy -toegang op lange termijn door backdoors op apparaten in te zetten die geen traditionele endpoint -detectie- en respons (EDR) -hulpmiddelen ondersteunen,” zei Gtig, toevoegend dat het op verschillende intrusies heeft gereageerd sinds maart 2025.
“De acteur maakt gebruik van methoden voor laterale beweging en gegevensdiefstal die minimale tot geen beveiligingstelemetrie genereren. Dit, in combinatie met aanpassingen aan de backstorm -achterdeur, heeft hen in staat gesteld om gemiddeld 393 dagen onopgemerkt te blijven in slachtofferomgevingen.”
In ten minste één geval wordt gezegd dat de dreigingsactoren de bovengenoemde beveiligingsfouten in Ivanti Connect Secure Edge -apparaten hebben benut om initiële toegang te verkrijgen en bakstenen te laten vallen. Maar de langdurige verblijftijd en de inspanningen van de dreigingsacteur om sporen van hun activiteit te wissen, hebben het een uitdaging gemaakt om de initiële toegangsvector te bepalen die in andere gevallen wordt gebruikt om de malware op Linux en BSD-gebaseerde apparaten van meerdere fabrikanten te leveren.
Er zijn aanwijzingen dat de malware onder actieve ontwikkeling staat, met één monster met een “vertraging” -timer die in de toekomst op een hard gecodeerde datummaanden wacht voordat het contact met zijn C2-server start. De bakstenenvariant, zei Google, werd geïmplementeerd op een interne VMware vCenter -server nadat de beoogde organisatie aan haar inspanningen voor incidentrespons was begonnen, wat aangeeft de behendigheid van de hackgroep om persistentie te behouden.
De aanvallen worden ook gekenmerkt door het gebruik van een kwaadaardig Java -servlet -filter voor de Apache Tomcat Server genaamd BrickSteal om vCenter -referenties vast te leggen voor escalatie van privileges, waarbij het vervolgens wordt gebruikt om Windows Server VM’s te klonen voor belangrijke systemen zoals domeincontrollers, SSO -identiteitsproviders en geheime vaults.
“Normaal gesproken vereist het installeren van een filter een configuratiebestand wijzigen en het opnieuw opstarten of opnieuw laden van de applicatie; de acteur gebruikte echter een aangepaste druppelaar die de wijzigingen volledig in het geheugen heeft gemaakt, waardoor het zeer stealthy werd en de noodzaak voor een herstart ontkende,” zei Google.
Bovendien is vastgesteld dat de dreigingsactoren geldig inloggegevens voor laterale beweging gebruiken om naar de VMware -infrastructuur te draaien en persistentie vast te stellen door Init.D, RC.local of SystemD -bestanden te wijzigen om ervoor te zorgen dat de achterdeur automatisch wordt gestart met reboot van apparaten.
Het primaire doel van de campagne is om toegang te krijgen tot de e -mails van belangrijke personen binnen de slachtoffer -entiteiten, waaronder ontwikkelaars, systeembeheerders en personen die betrokken zijn bij zaken die aansluiten bij de economische en spionagebelangen van China. De proxyfunctie van Brickstorm wordt gebruikt om een tunnel te maken en rechtstreeks toegang te krijgen tot de toepassingen die van belang zijn voor de aanvallers.
Google heeft ook een shell-scriptscanner ontwikkeld voor potentiële slachtoffers om erachter te komen of ze zijn beïnvloed door bakstenenactiviteit op Linux en BSD-gebaseerde apparaten en systemen door bestanden te markeren die bekende handtekeningen van de malware overeenkomen.
“De Brickstorm-campagne vormt een belangrijke bedreiging vanwege de verfijning, ontwijking van geavanceerde enterprise beveiligingsverdedigingen en focus op hoogwaardige doelen,” zei Charles Carmakal, CTO van Mandiant Consulting bij Google Cloud, in een verklaring gedeeld met het Hacker News.
“De toegang die door UNC5221 is verkregen, stelt hen in staat om stroomafwaartse klanten van gecompromitteerde SaaS-providers in te schakelen of nul-day kwetsbaarheden te ontdekken in enterprise-technologieën, die kunnen worden gebruikt voor toekomstige aanvallen. We moedigen organisaties aan om te jagen op brickstorm en andere backdoors die zich kunnen bevinden op hun systemen die geen eindpuntdetectie en respons hebben (EDR) dekking (EDR) dekking.”
