Google varuje, že UNC5221 viac ako rok útočí na americké právnické, technologické a SaaS firmy s malvérom Brickstorm. Kampaň je zameraná na špionáž, krádež duševného vlastníctva a dlhodobý prístup k infraštruktúre. Mandiant naliehavo vyzýva na vyhľadávanie hrozieb založené na TTP (taktiky, techniky a postupy) a silnejšiu autentifikáciu na boj proti budúcim útokom.
Americké organizácie v právnom, technologickom, SaaS sektore a sektore outsourcingu obchodných procesov boli viac ako rok cieľom novej varianty malvéru s názvom Brickstorm, čo viedlo k závažným stratám dát, varujú odborníci.
Skupina Google Threat Intelligence Group (GTIG) zistila, že aktéri hrozby stojaci za kampaňou sú UNC5221, podozrivá entita spojená s Čínou, známa svojimi nenápadnými operáciami a dlhodobou perzistenciou.
Táto skupina najprv zamerala nezaplátané zraniteľnosti v zariadeniach s Linuxom a zariadeniach založených na BSD, pretože tieto sú často prehliadané v inventúrach aktív a vylúčené z centrálneho protokolovania. Ako také sú ideálnym východiskovým bodom pre útočníkov.
Kybernetická špionáž
Po vniknutí UNC5221 použil Brickstorm na laterálny pohyb, získavanie prihlasovacích údajov a exfiltráciu dát s minimálnou telemetriou. V niektorých prípadoch zostal malvér nezistený viac ako rok, pretože priemerný čas zotrvania bol údajne ohromujúcich 393 dní.
V mnohých prípadoch by sa preorientovali z okrajových zariadení na VMware vCenter a ESXi hostiteľov, pričom na nasadenie Brickstormu a eskaláciu privilégií použili ukradnuté prihlasovacie údaje.
Na udržanie perzistencie upravovali spúšťacie skripty a nasadzovali webshelly, ktoré umožňovali vzdialené vykonávanie príkazov. Klonovali citlivé virtuálne stroje bez toho, aby ich vôbec zapli, a vyhli sa tak spúšťaniu bezpečnostných nástrojov.
Zdá sa, že ciele kampane zahŕňajú geopolitickú špionáž, krádež duševného vlastníctva a operácie prístupu.
Keďže boli cieľom aj právnické firmy, vedci usúdili, že UNC5221 sa zaujímal o národnú bezpečnosť USA a obchodné témy, zatiaľ čo zacielenie na poskytovateľov SaaS mohlo byť použité na prechod do prostredí zákazníkov nižšej úrovne.
Na boj proti Brickstormu Mandiant odporúča prístup k vyhľadávaniu hrozieb založený skôr na taktikách, technikách a postupoch (TTP) než na atómových indikátoroch, ktoré sa ukázali ako nespoľahlivé kvôli operačnej disciplíne aktéra.
Vedci vyzvali podniky, aby aktualizovali inventúry aktív, monitorovali prenosovú prevádzku a vynucovali viacfaktorovú autentifikáciu.
