Porte dérobée BRICKSTORM

Un groupe de cyberespionnage présumé proche de la Chine cible des entreprises américaines des secteurs des services juridiques, des logiciels en tant que service (SaaS), de l'externalisation des processus métier (BPO) et des technologies. Objectif : créer une porte dérobée hautement performante appelée BRICKSTORM.

Attribuées à UNC5221 et à des groupes de menaces étroitement liés, ces intrusions visent à maintenir un accès permanent aux réseaux des victimes pendant plus d'un an, ciblant souvent les fournisseurs SaaS pour atteindre les environnements clients en aval ou les données hébergées pour leur compte. Dans les secteurs juridique et technologique, les attaques semblent motivées par le vol de propriété intellectuelle, de renseignements liés à la sécurité nationale et d'informations relatives au commerce international.

BRICKSTORM : La porte dérobée qui reste cachée

Observé pour la première fois l'année dernière, BRICKSTORM était lié à l'exploitation des vulnérabilités zero-day d'Ivanti Connect Secure (CVE-2023-46805 et CVE-2024-21887). Il est également actif dans les environnements Windows européens depuis au moins novembre 2022.

BRICKSTORM, écrit en Go, inclut des fonctionnalités pour :

• Agir comme un serveur Web.
• Manipuler les systèmes de fichiers et les répertoires.
• Téléchargez/téléchargez des fichiers et exécutez des commandes shell.
• Fonctionne comme un proxy SOCKS.
• Communiquez avec un serveur de commande et de contrôle (C2) via WebSockets.

Ce logiciel malveillant est conçu pour échapper à la détection, notamment sur les appareils dépourvus de la protection traditionnelle EDR (détection et réponse aux terminaux). Son architecture furtive permet aux attaquants de rester indétectables pendant 393 jours en moyenne.

Techniques avancées de furtivité et de persistance

Les acteurs de la menace emploient des techniques très sophistiquées de déplacement latéral et de persistance :

Exploitation et accès initial : Au moins une attaque a exploité les vulnérabilités des périphériques Ivanti Connect Secure pour déployer BRICKSTORM. D'autres déploiements sur des appliances Linux et BSD restent difficiles à tracer en raison de l'effacement minutieux des traces d'activité par les acteurs.

Développement agile de logiciels malveillants : certains exemples BRICKSTORM incluent un temporisateur qui retarde la communication avec les serveurs C2 de plusieurs mois. Dans un cas, le logiciel malveillant a été déployé sur un serveur VMware vCenter après le début de la réponse à l'incident, démontrant ainsi l'agilité opérationnelle.

Élévation de privilèges via BRICKSTEAL : Un filtre de servlet Java malveillant sur Apache Tomcat a été utilisé pour capturer les identifiants vCenter. Les attaquants ont ensuite cloné des machines virtuelles Windows Server pour des systèmes critiques tels que des contrôleurs de domaine, des fournisseurs d'identité SSO et des coffres secrets.

Modifications en mémoire : en utilisant un dropper personnalisé, les attaquants appliquaient les modifications de configuration entièrement en mémoire, évitant ainsi les redémarrages et la détection des applications.

Méthodes de persistance : les modifications apportées aux fichiers init.d, rc.local ou systemd, ainsi que le déploiement de shells Web JSP comme SLAYSTYLE (alias BEEFLUSH), garantissent que BRICKSTORM redémarre automatiquement au redémarrage de l'appareil et exécute des commandes arbitraires du système d'exploitation.

Objectifs stratégiques et impact

L'objectif principal de cette campagne est l'exfiltration ciblée de données, ciblant les e-mails et les comptes des développeurs, des administrateurs système et du personnel impliqué dans des domaines sensibles liés aux intérêts économiques et d'espionnage de la Chine. Grâce à la fonctionnalité proxy SOCKS, les attaquants peuvent s'infiltrer dans les applications concernées et se tourner vers les clients SaaS en aval ou identifier des vulnérabilités zero-day pour de futures campagnes.

La campagne BRICKSTORM représente une menace hautement sophistiquée, capable de contourner les défenses avancées des entreprises et de se concentrer sur des cibles de grande valeur.