概要
Googleは、「Brickstorm」と呼ばれるマルウェアが、米国のテクノロジーおよび法律分野の組織を標的とした長期的なスパイ活動に利用されていたことを明らかにしました。このマルウェアは、平均して393日間もの間、被害組織のネットワーク内で検出されずに潜伏し、機密データを密かに窃取していました。
Brickstormは、Googleが2024年4月に中国関連の侵入活動を追跡する中で文書化したGoベースのバックドアです。この攻撃は、さまざまなエッジデバイスから発生し、SaaSプロバイダーやビジネスプロセスアウトソーサー(BPO)も標的となっていました。Googleは、これらの組織が侵害されることで、攻撃者がゼロデイエクスプロイトを開発し、特にEDRソリューションで保護されていない下流の被害者への攻撃を拡大する可能性があると指摘しています。
Brickstormの機能と攻撃手法
Brickstormは多機能なマルウェアであり、以下の機能を有していました。
- Webサーバー機能
- ファイル操作ツール
- ドロッパー
- SOCKSリレー
- シェルコマンド実行ツール
攻撃者は、EDRがサポートされていないVMware vCenter/ESXiエンドポイントなどのアプライアンスにBrickstormを展開し、CloudflareやHerokuなどの正規のトラフィックを装ってコマンド&コントロール(C2)サーバーとの通信を確立します。足がかりを確立した後、攻撃者はvCenter上で悪意のあるJavaサーブレットフィルター「Bricksteal」を使用して特権昇格を試み、認証情報を窃取しました。また、Windows Server VMをクローンしてシークレットを抽出する手法も用いられました。
窃取された認証情報は、ラテラルムーブメントと永続化のために利用され、ESXiでのSSH有効化や、init.dおよびsystemdのスタートアップスクリプトの変更などが含まれます。
攻撃の目的と標的
Brickstormの主な運用目的は、Microsoft Entra ID Enterprise Appsを介した電子メールのデータ流出です。SOCKSプロキシを利用して内部システムやコードリポジトリにトンネルを掘り、高いステルス性を維持しながらデータを窃取していました。Googleの観測によると、攻撃グループ「UNC5221」は、開発者、管理者、および中国の経済的・安全保障上の利益に関連する個人に強い焦点を当てています。
攻撃者の特徴と回避策
UNC5221は、Ivantiのゼロデイ脆弱性を悪用して政府機関を攻撃することで知られており、SpawnantやZiplineといったカスタムマルウェアも使用しています。被害システムでの長期潜伏期間と、侵入経路を隠蔽するためのアンチフォレンジックスクリプトの使用により、Google Threat Intelligence Group(GTIG)は初期アクセスベクターを特定できませんでしたが、エッジデバイスのゼロデイエクスプロイトが関与していると推測されています。
この攻撃グループは、運用完了後にマルウェアを削除してフォレンジック調査を妨害します。さらに、同じC2ドメインやマルウェアサンプルを二度と使用しないため、調査はさらに複雑になります。
検出と対策
防御者を支援するため、MandiantはLinuxおよびBSDアプライアンス向けのBrickstorm YARAルールを複製する無料のスキャナースクリプトを公開しました。レポートには、BrickstealおよびSlaystyleのYARAルールも含まれています。
ただし、Mandiantは、このスキャナーがBrickstormのすべての亜種を検出するわけではなく、侵害の検出を100%保証するものではないこと、永続化メカニズムを検索しないこと、脆弱なデバイスについて警告しないことなど、いくつかの制限があることを警告しています。
元記事: Google: Brickstorm malware used to steal U.S. orgs’ data for over a year