潛伏393天|Brickstorm惡意軟件專攻美國敏感機構 疑與中國黑客有關

早前 Google 威脅情報團隊揭露了一款名為 Brickstorm 的惡意軟件,這款以 Go 語言編寫的木馬程式功能強大,能充當 Web 服務器、文件操作工具、指令執行平台,甚至作為 SOCKS 代理隧道,將受害者的敏感數據偷偷傳輸至攻擊者的控制中心。 專家指出幕後的黑客主要瞄準美國的軟件開發、技術與法律行業的機構發動攻擊,並警告這類攻擊不僅對個別受害者造成嚴重損失,還可能因攻擊者掌握的資訊被用於開發零日漏洞(0 Day Exploits),進一步危及下游企業。
與 Salesforce 事件屬同類型
供應鏈攻擊近年是黑客慣常採用的策略,貪其成本低效率高,而 Brickstorm 事件正是其中一例。在同類型的攻擊中,黑客往往針對第三方供應商或企業的外圍設備發動攻擊,例如早前知名黑客集團如 ShinyHunters 和 Scattered Spider,透過社交工程引誘受害者安裝惡意 OAuth 應用程式,用來入侵儲存在 Salesforce 內的敏感資料。
雖然漏洞不在 Salesforce 的軟件身上,但亦可見黑客擅於將同一詐騙手法應用至 Salesforce 其他的客戶身上。而這些攻擊的共同點是利用供應鏈的薄弱環節作為突破口,進而滲透至核心系統。
Brickstorm 的攻擊就更進一步,直接針對 如VMware vCenter 和 ESXi 等不支援 EDR 的關鍵設備展開行動。由於 Brickstorm 的初始滲透途徑並不明確,研究人員推測可能涉及利用邊緣設備的零日漏洞。
黑客行徑難以追蹤
Brickstormm 一經部署,會偽裝成 Cloudflare 或 Heroku 等合法服務的數據流量,與黑客的控制中心建立通信通道,然後執行一系列浸透命令,包括提升帳戶權限,通過在 vCenter 上植入惡意 Java Servlet Filter 攔截並記錄用戶憑證;進行橫向移動,利用竊取的憑證啟用 ESXi 的 SSH 功能,並修改啟動程序,確保持久控制,最後會使用內置的 SOCKS 代理竊取內部系統的數據。
由於黑客的滲透行動非常隱密,所以能夠長時間潛伏於受害機構的系統中,報告中就指出平均潛伏期為 393 日。當完成攻擊,黑客會刪除惡意軟件及相關痕跡,令搜證人員難以追蹤其行徑,所以在這次事件中,Google 專家也未能在遭受攻擊的系統內還原事件,只能推測其攻擊起點是發生在遠邊緣設備之上。
根據這次黑客針對美國的開發人員、系統管理員等與中國經濟利益相關的人員發動攻擊,以及黑客採用的惡意工具,Google 專家估計這次攻擊與中國黑客集團 UNC5221 有關。為了防止攻擊事件持續,Mandiant 發布了一套免費的掃描工具,內含基於 YARA 規則的檢測工具,適用於 Linux 與 BSD 設備。不過,Mandiant 也指出不能百分百保證檢測到所有 Brickstorm 變種,所以就算檢測工具未發現異常,受害者的系統仍可能處於風險之中。