サイバーニュース.jp

世界のサイバーなニュースを配信

BRICKSTORMバックドア、テクノロジーおよび法律事務所を標的とした巧妙な新キャンペーンを展開

カテゴリ:

, , , , , , , , ,

永続的で巧妙、かつクロスプラットフォームなBRICKSTORMバックドアが、米国のテクノロジー企業や法律事務所にとって重大な脅威として浮上しています。

Google脅威インテリジェンスグループ(GTIG)によって追跡され、Mandiant Consultingによって調査されたBRICKSTORMキャンペーンは、平均393日間検出されずにアクセスを維持し、法律サービス会社、SaaSプロバイダー、BPO、テクノロジー企業を標的として、ゼロデイ開発や広範なダウンストリーム悪用のためのデータを収集しています。

2025年3月以降、GTIGはUNC5221および関連する中国系クラスターに起因する複数の侵入を観測しており、従来のEDR(エンドポイント検出および対応)サポートを欠くアプライアンスにBRICKSTORMを展開しています。初期アクセスは、侵害された境界およびリモートアクセスインフラストラクチャ、特にネットワークアプライアンスに対するゼロデイエクスプロイトを悪用することが多いです。

### BRICKSTORMの標的と攻撃手法

侵入後、攻撃者はGoベースのBRICKSTORMバックドア(SOCKSプロキシ機能付き)をVMware vCenterやESXiホストなどのLinuxおよびBSDデバイスに展開し、最小限のテレメトリ生成でラテラルムーブメントを可能にすることで足がかりを確立します。あるケースでは、Mandiantはハードコードされた将来の日付まで休眠状態にあった時限遅延型亜種を発見しており、これは活発なマルウェア開発とインシデント対応への迅速な適応を示しています。

特権昇格技術には、BRICKSTEALと呼ばれる悪意のあるJavaサーブレットフィルターのインメモリインストールが含まれます。これはvCenterのWebログインURI上のHTTP Basic認証ヘッダーを傍受し、特権資格情報を取得します。これらの資格情報を使用して、攻撃者はvCenterのログイベントを利用してドメインコントローラーやシークレットボールトなどの重要な仮想マシンをクローンし、クローンされた仮想ディスクをオフラインでマウントし、ホストベースの防御をトリガーすることなく機密データを抽出します。このグループはまた、オープンソースの「シークレットスティーラー」ユーティリティを介してDelinea Secret Serverインスタンスから資格情報を自動的に収集し、アクセスツールキットをさらに強化しています。

### BRICKSTORMスキャナーのリリースと推奨事項

防御者を支援するため、MandiantはYARAのインストールを必要とせずにG_APT_Backdoor_BRICKSTORM_3 YARAルールを再現するBRICKSTORMスキャナーをGitHubで公開しました。このスクリプトは、*nixベースのアプライアンスとバックアップイメージをスキャンし、BRICKSTORMに関連する固有の文字列および16進パターンを検出します。組織はこのツールをダウンロードし、既存のバックアップまたはファイルシステムスキャンワークフローに統合して、永続性を再確立する前に潜在的な感染を検出できます。

スキャナーと並行して、Mandiantは、管理インターフェースがマルウェアの出口点として機能する、ファイアウォール、VPNコンセントレーター、仮想化プラットフォーム、会議システム、特殊アプライアンスなどの管理されていないデバイスを含めるように資産インベントリを再評価することを推奨しています。これらのインターフェースからの疑わしいアウトバウンドトラフィック、特に異常なドメインへのDNS-over-HTTP(DoH)接続について、ネットワークログとDNSレコードを分析する必要があります。

### TTPベースのハンティングガイダンス

BRICKSTORMの高い運用セキュリティと指標の再利用の欠如を考慮し、Mandiantはアトミックな指標への依存よりもTTP(戦術、技術、手順)ベースのハンティングアプローチを提唱しています。主要なハンティングシナリオは以下の通りです。

* Mandiantスキャナーを使用して、アプライアンスのファイルシステムとバックアップからBRICKSTORMのアーティファクトをスキャンする。
* ファイアウォール、ネットフロー、DNSログを分析し、予期せぬ管理インターフェースからの外部通信を検出する。
* アプライアンスからのWindowsネットワークログインをEDR、Windowsセキュリティイベントログ、ユーザーアクセスログと照合し、異常な認証イベントを特定する。
* Shellbagsおよび資格情報ボールトのログを解析し、サービスアカウントの閲覧活動を検出する。
* Microsoft 365統合監査ログで、エンタープライズアプリケーションのmail.readおよびfull_access_as_appイベントを追跡する。
* vSphere VPXDログをレビューし、高価値システムの営業時間外のVMクローン作成を監視する。
* VMware監査イベントを監視し、SSHの有効化、ローカルアカウントの作成/削除、不正なVMライフサイクルイベントを検出する。

これらのハンティングを実装するには、最新の資産インベントリと集中型ログ収集が必要です。防御者は、アプライアンス管理インターフェースに対して厳格な最小特権アクセスとネットワークセグメンテーションを強制し、ベンダーアップデートドメインへのインターネットアクセスをロックダウンし、vCenterログインに多要素認証を採用する必要があります。強化された資格情報ボールトと重要なサーバー上のTPMベースの鍵ストレージは、機密情報の漏洩リスクをさらに低減します。

### 侵害の痕跡 (IOCs)

| SHA-256ハッシュ | ファイル名 | 説明 |
| :—————————————————————– | :———- | :——– |
| `90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035` | `pg_update` | BRICKSTORM |
| `2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df` | `spclisten` | BRICKSTORM |

BRICKSTORMの活動は、米国の法律事務所からの地政学的インテリジェンス収集、SaaSプロバイダーを介したダウンストリーム侵入、ゼロデイエクスプロイト開発を促進するためのテクノロジー企業からの知的財産窃盗という、多面的なスパイ活動の意図を反映しています。これらの業種の組織は、自身のアプライアンスが潜在的な侵害ポイントであると認識し、この洗練されたバックドアが攻撃者に戦略的優位性をもたらす前に、TTPベースの防御を優先して検出および阻止する必要があります。

元記事: [https://gbhackers.com/brickstorm-backdoor/](https://gbhackers.com/brickstorm-backdoor/)

投稿をさらに読み込む