Segundo um relatório do Google Threat Intelligence Group (GTIG), esta campanha de ciberespionagem visa o roubo de dados sensíveis a longo prazo. Os alvos incluem também fornecedores de software como serviço (SaaS) e empresas de outsourcing de processos de negócio (BPOs), o que representa um risco acrescido para toda a cadeia de abastecimento digital. Os investigadores atribuem estes ataques ao grupo UNC5221, já conhecido por explorar vulnerabilidades de dia-zero em sistemas Ivanti.
Como funciona o ataque silencioso do Brickstorm?
O Brickstorm é um backdoor desenvolvido na linguagem de programação Go, que lhe confere versatilidade para atuar como servidor web, ferramenta de manipulação de ficheiros, retransmissor SOCKS e executor de comandos remotos. O método de entrada inicial não foi determinado com total certeza, devido às táticas anti-forenses dos atacantes, mas suspeita-se que a exploração de vulnerabilidades em dispositivos de rede periféricos seja o ponto de partida.
Microsoft e Cloudflare desmantelam rede de phishing RaccoonO365
Uma vez na rede, o malware é implementado em sistemas que geralmente não suportam soluções de Deteção e Resposta de Endpoint (EDR), como endpoints VMware vCenter/ESXi. Para evitar a deteção, a sua comunicação com os servidores de comando e controlo (C2) é disfarçada para se assemelhar a tráfego legítimo de serviços como a Cloudflare ou a Heroku.
O objectivo: roubo de dados e persistência a longo prazo
Com um pé dentro do sistema, o grupo UNC5221 foca-se em escalar privilégios. Para isso, utiliza ferramentas como um filtro Java Servlet malicioso (Bricksteal) no vCenter para capturar credenciais. Os atacantes chegam a clonar máquinas virtuais do Windows Server para extrair segredos e informações valiosas.
As credenciais roubadas são depois usadas para se moverem lateralmente pela rede e garantir a sua persistência, por exemplo, ativando o acesso SSH nos sistemas ESXi e modificando scripts de arranque. O objectivo final do Brickstorm é a exfiltração de dados, com um foco particular em emails, através de aplicações empresariais do Microsoft Entra ID, e no acesso a repositórios de código internos.
A investigação da Google indica que o grupo tem um interesse especial em programadores, administradores de sistemas e indivíduos ligados aos interesses económicos e de segurança da China. No final da operação, o malware é meticulosamente removido para dificultar qualquer investigação forense.
A defesa: Mandiant lança ferramentas para detectar a ameaça
Para ajudar as organizações a defenderem-se, a Mandiant, uma subsidiária da Google, lançou um script de verificação gratuito que replica uma regra YARA para detetar o Brickstorm em equipamentos Linux e BSD. O relatório inclui ainda regras YARA específicas para as ferramentas Bricksteal e Slaystyle.
No entanto, a Mandiant alerta que o seu scanner pode não detetar todas as variantes do malware, não garante uma deteção de 100% e não verifica os mecanismos de persistência utilizados pelos atacantes, servindo como uma primeira linha de defesa contra esta ameaça sofisticada e silenciosa.
