La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) publicó el jueves detalles de una puerta trasera llamada TORMENTA DE LADRILLOS que ha sido utilizado por actores de amenazas patrocinados por el estado de la República Popular China (RPC) para mantener la persistencia a largo plazo en los sistemas comprometidos.
«BRICKSTORM es una puerta trasera sofisticada para entornos VMware vSphere y Windows», dijo la agencia. «BRICKSTORM permite a los actores de amenazas cibernéticas mantener un acceso sigiloso y proporciona capacidades de iniciación, persistencia y comando y control seguro».
Escrito en Golang, el implante personalizado esencialmente brinda a los malos actores acceso interactivo al shell en el sistema y les permite explorar, cargar, descargar, crear, eliminar y manipular archivos.
El malware, utilizado principalmente en ataques dirigidos a gobiernos y sectores de tecnología de la información (TI), también admite múltiples protocolos, como HTTPS, WebSockets y Seguridad de la capa de transporte (TLS) anidada, para comando y control (C2), DNS sobre HTTPS (DoH) para ocultar las comunicaciones y mezclarse con el tráfico normal, y puede actuar como un proxy SOCKS para facilitar el movimiento lateral.
La agencia de ciberseguridad no reveló cuántas agencias gubernamentales se vieron afectadas ni qué tipo de datos fueron robados. La actividad representa una evolución táctica continua de los grupos de hackers chinos, que han seguido atacando dispositivos de red de borde para violar redes e infraestructuras de nube.
En una declaración compartida con Reuters, un portavoz de la embajada china en Washington rechazó las acusaciones y afirmó que el gobierno chino no «alienta, apoya ni confabula con los ataques cibernéticos».
BRICKSTORM fue documentado por primera vez por Google Mandiant en 2024 en ataques vinculados a la explotación de día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). El uso del malware se ha atribuido a dos grupos rastreados como UNC5221 y a un nuevo adversario del nexo con China rastreado por CrowdStrike como Warp Panda.
A principios de septiembre, Mandiant y Google Threat Intelligence Group (GTIG) dijeron que observaron que los servicios legales, los proveedores de software como servicio (SaaS), los subcontratistas de procesos comerciales (BPO) y los sectores tecnológicos en los EE. UU. estaban siendo atacados por UNC5221 y otros grupos de actividades de amenazas estrechamente relacionados para distribuir el malware.
Una característica clave del malware, según CISA, es su capacidad de reinstalarse o reiniciarse automáticamente mediante una función de autocontrol que permite su funcionamiento continuo ante cualquier posible interrupción.
En un caso detectado en abril de 2024, se dice que los actores de amenazas accedieron a un servidor web dentro de la zona desmilitarizada (DMZ) de una organización utilizando un shell web, antes de moverse lateralmente a un servidor interno VMware vCenter e implantar BRICKSTORM. Sin embargo, aún se desconocen muchos detalles, incluido el vector de acceso inicial utilizado en el ataque y cuándo se implementó el shell web.
También se ha descubierto que los atacantes aprovechan el acceso para obtener credenciales de cuenta de servicio y se mueven lateralmente a un controlador de dominio en la DMZ utilizando el Protocolo de escritorio remoto (RDP) para capturar información de Active Directory. Durante el transcurso de la intrusión, los actores de amenazas lograron obtener las credenciales de una cuenta de proveedor de servicios administrados (MSP), que luego se utilizó para saltar desde el controlador de dominio interno al servidor VMware vCenter.
CISA dijo que los actores también se movieron lateralmente desde el servidor web utilizando el Bloque de mensajes del servidor (SMB) a dos servidores de salto y un servidor de Servicios de federación de Active Directory (ADFS), extrayendo claves criptográficas de este último. El acceso a vCenter finalmente permitió al adversario implementar BRICKSTORM después de elevar sus privilegios.
«BRICKSTORM utiliza controladores personalizados para configurar un proxy SOCKS, crear un servidor web en el sistema comprometido y ejecutar comandos en el sistema comprometido», dijo, agregando que algunos artefactos están «diseñados para funcionar en entornos virtualizados, utilizando una interfaz de socket virtual (VSOCK) para permitir la comunicación entre VM (máquina virtual), facilitar la filtración de datos y mantener la persistencia».
Warp Panda utiliza BRICKSTORM contra entidades estadounidenses
CrowdStrike, en su análisis de Warp Panda, dijo que este año ha detectado múltiples intrusiones dirigidas a entornos VMware vCenter en entidades legales, tecnológicas y de fabricación con sede en EE. UU. que han llevado al despliegue de BRICKSTORM. Se cree que el grupo ha estado activo desde al menos 2022.
«Warp Panda exhibe un alto nivel de sofisticación técnica, habilidades de seguridad de operaciones avanzadas (OPSEC) y un amplio conocimiento de los entornos de nube y máquinas virtuales (VM)», dijo la compañía. «Warp Panda demuestra un alto nivel de sigilo y casi con certeza se centra en mantener un acceso encubierto, persistente y a largo plazo a las redes comprometidas».
La evidencia muestra que el grupo de piratas informáticos obtuvo acceso inicial a una entidad a finales de 2023. También se implementaron en los ataques junto con BRICKSTORM dos implantes Golang previamente no documentados, a saber, Junction y GuestConduit, en hosts ESXi y máquinas virtuales invitadas, respectivamente.
Junction actúa como un servidor HTTP para escuchar solicitudes entrantes y admite una amplia gama de capacidades para ejecutar comandos, tráfico de red proxy e interactuar con máquinas virtuales invitadas a través de sockets de VM (VSOCK). GuestConduit, por otro lado, es un implante de túnel de tráfico de red que reside dentro de una VM invitada y establece un escucha VSOCK en el puerto 5555. Su responsabilidad principal es facilitar la comunicación entre las VM invitadas y los hipervisores.
Los métodos de acceso inicial implican la explotación de dispositivos periféricos conectados a Internet para pasar a entornos de vCenter, ya sea utilizando credenciales válidas o abusando de las vulnerabilidades de vCenter. El movimiento lateral se logra mediante SSH y la cuenta de administración privilegiada de vCenter «vpxuser». El equipo de piratería también utilizó el Protocolo seguro de transferencia de archivos (SFTP) para mover datos entre hosts.
Algunas de las vulnerabilidades explotadas se enumeran a continuación:
Todo el modus operandi gira en torno a mantener el sigilo mediante la limpieza de registros, el control del tiempo de los archivos y la creación de máquinas virtuales no autorizadas que se apagan después de su uso. BRICKSTORM, disfrazado de procesos vCenter benignos, se emplea para canalizar el tráfico a través de servidores vCenter, hosts ESXi y máquinas virtuales invitadas.
De manera similar a los detalles compartidos por CISA, CrowdStrike señaló que los atacantes utilizaron su acceso a los servidores vCenter para clonar máquinas virtuales de controlador de dominio, posiblemente en un intento por recolectar la base de datos de Active Directory Domain Services. También se ha descubierto que los actores de amenazas acceden a las cuentas de correo electrónico de empleados que trabajan en áreas que se alinean con los intereses del gobierno chino.
«Warp Panda probablemente utilizó su acceso a una de las redes comprometidas para realizar un reconocimiento rudimentario contra una entidad gubernamental de Asia Pacífico», dijo la compañía. «También se conectaron a varios blogs de ciberseguridad y a un repositorio GitHub en idioma mandarín».
Otro aspecto importante de las actividades de Warp Panda es su enfoque en establecer persistencia en entornos de nube y acceder a datos confidenciales. Al caracterizarlo como un «adversario consciente de la nube», CrowdStrike dijo que los atacantes explotaron su acceso a los entornos Microsoft Azure de las entidades para acceder a los datos almacenados en OneDrive, SharePoint y Exchange.
En al menos un incidente, los piratas informáticos lograron hacerse con tokens de sesión de usuario, probablemente extrayendo archivos del navegador del usuario y canalizando el tráfico a través de implantes BRICKSTORM para acceder a los servicios de Microsoft 365 a través de un ataque de reproducción de sesión y descargar archivos de SharePoint relacionados con los equipos de ingeniería de red y respuesta a incidentes de la organización.
Los atacantes también han utilizado formas adicionales para configurar la persistencia, como registrar un nuevo dispositivo de autenticación multifactor (MFA) a través de un código de aplicación Authenticator después de iniciar sesión inicialmente en una cuenta de usuario. En otra intrusión, se utilizó la API de Microsoft Graph para enumerar entidades principales de servicio, aplicaciones, usuarios, roles de directorio y correos electrónicos.
«El adversario apunta principalmente a entidades en América del Norte y mantiene consistentemente un acceso persistente y encubierto a redes comprometidas, probablemente para apoyar los esfuerzos de recopilación de inteligencia alineados con los intereses estratégicos de la República Popular China», dijo CrowdStrike.
