摘要：据谷歌旗下Mandiant安全部门威胁情报显示，自 3 月份以来，身份不明的入侵者闯入了“众多”企业网络并部署后门，为其长期的 IP 和其他敏感数据窃取任务提供访问权限，同时平均 393 天未被发现。

据谷歌旗下Mandiant安全部门威胁情报显示，自 3 月份以来，身份不明的入侵者闯入了“众多”企业网络并部署后门，为其长期的 IP 和其他敏感数据窃取任务提供访问权限，同时平均 393 天未被发现。

在今天发表的一篇报告中，Mandiant威胁猎手将这些网络入侵归咎于UNC5221组织。UNC5221至少从 2023 年开始就一直在利用存在漏洞的 Ivanti 设备中的0day漏洞。

入侵者之所以能够在受害者网络中潜伏这么久才被发现，一个重要原因是他们在那些不支持传统端点检测和响应 (EDR) 工具的设备上使用后门（主要是 BRICKSTORM）。

这意味着受害者组织的安全团队不会收到任何有关可疑活动的 EDR 警报。

谷歌拒绝透露自 3 月份以来已发现多少名 BRICKSTORM 活动受害者，但“需要关注的重要一点是，该组织正在扩大其攻击能力”。

一旦攻击者入侵，他们就会部署后门程序来维持持久访问，而他们最常用的后门程序是 BRICKSTORM。这款用 Go 编写的恶意软件包含 SOCKS 代理功能。

虽然有证据表明存在 Windows BRICKSTORM 变种，但 Mandiant 的响应人员尚未亲眼见过，但他们在多家制造商的 Linux 和 BSD 设备上发现了该后门程序。

Mandiant研究人员指出，UNC5221 持续以 VMware vCenter 和 ESXi 主机为目标，并且“在多个案例中，攻击者在转向 VMware 系统之前，先将 BRICKSTORM 部署到网络设备上”。

在这些情况下，入侵者使用有效凭证（很可能是被网络设备上运行的恶意软件窃取的）横向移动到受害者环境中的 vCenter 服务器。

根据从各个受害组织恢复的恶意软件样本，UNC5221 似乎还修改了 BRICKSTORM，使其更加难以检测。我们了解到，其中一些使用了Garble进行混淆，一些使用了新版本的自定义 wssoft 库，至少有一个内置了“延迟”计时器。

在另一项调查中，攻击者在运行 vCenter Web 界面的 Apache Tomcat 服务器上安装了一个恶意 Java Servlet 过滤器。该代码被设计为在 Web 服务器每次收到 HTTP 请求时运行。安装过滤器通常需要修改配置文件，然后重启应用程序。

在本例中，入侵者使用了自定义的植入器，在内存中进行修改，而无需重启应用程序——这再次增强了恶意软件的隐蔽性。

Mandiant 将此恶意过滤器标记为 BRICKSTEAL，并声称能够解码 HTTP 基本身份验证标头，其中可能包含用户名和密码。报告警告称：“许多组织使用 Active Directory 身份验证来管理 vCenter，这意味着 BRICKSTEAL 可以捕获这些凭据。”

在许多此类入侵事件中，攻击者还侵入了“关键人物”的电子邮件收件箱。

为了访问这些收件箱，窥探者使用了带有 mail.read 或 full_access_as_app 范围的 Microsoft Entra ID Enterprise Applications，这两者都允许应用程序访问任何邮箱中的邮件。

为了从受害者的系统中窃取文件，UNC5221 使用 BRICKSTORM 的 SOCKS 代理功能从他们的工作站建立隧道并直接访问系统和 Web 应用程序。

此外，在“数起”入侵事件中，攻击者从受感染系统中删除了恶意软件样本。研究人员通过对备份映像进行取证分析，发现了 BRICKSTORM 恶意软件的存在。

技术报告：

来源：会杀毒的单反狗