La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) publicó el jueves detalles de una puerta trasera llamada TORMENTA DE LADRILLOS que han utilizado los actores de amenazas patrocinados por el estado de la República Popular China (RPC) para mantener la persistencia a largo plazo en los sistemas comprometidos.

«BRICKSTORM es una puerta trasera sofisticada para entornos VMware vSphere y Windows», dijo la agencia dijo . «BRICKSTORM permite a los actores de ciberamenazas mantener un acceso sigiloso y proporciona capacidades de iniciación, persistencia y mando y control seguros».

Escrito en Golang, el implante personalizado básicamente brinda a los malos actores acceso interactivo al sistema y les permite navegar, cargar, descargar, crear, eliminar y manipular archivos

El malware, que se utiliza principalmente en ataques dirigidos a gobiernos y sectores de tecnología de la información (TI), también es compatible con varios protocolos, como HTTPS, WebSockets y Transport Layer Security (TLS) anidado, de comando y control (C2) y DNS a través de HTTPS (DoH) para ocultar las comunicaciones y mezclarse con el tráfico normal, y puede actuar como un proxy SOCKS para facilitar el movimiento lateral.

La agencia de ciberseguridad no reveló cuántas agencias gubernamentales se han visto afectadas ni qué tipo de datos fueron robados. La actividad representa una evolución táctica continua de los grupos de hackers chinos, que han seguido atacando dispositivos de red periféricos para violar redes e infraestructuras de nube.

En un declaración compartido con Reuters, un portavoz de la embajada china en Washington rechazó las acusaciones y afirmó que el gobierno chino no «alienta, apoya ni conspira contra los ciberataques».

BRICKSTORM fue primera documentación de Google Mandiant en 2024 en ataques relacionados con la explotación de día cero de las vulnerabilidades de día cero de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887). El uso del malware se ha atribuido a dos clústeres rastreados como UNC5221 y a un nuevo adversario del nexo con China rastreado por CrowdStrike, llamado Warp Panda.

A principios de septiembre, Mandiant y Google Threat Intelligence Group (GTIG) dijo observaron que los servicios legales, los proveedores de software como servicio (SaaS), los subcontratistas de procesos empresariales (BPO) y los sectores tecnológicos de EE. UU. eran el objetivo de la UNC5221 y otros grupos de actividades de amenazas estrechamente relacionados para distribuir el malware.

Una característica clave del malware, según la CISA, es su capacidad de reinstalarse o reiniciarse automáticamente mediante una función de autocontrol que permite su funcionamiento continuo ante cualquier posible interrupción.

En un caso detectado en abril de 2024, se dice que los actores de la amenaza accedieron a un servidor web dentro de la zona desmilitarizada (DMZ) de una organización mediante un shell web, antes de trasladarse lateralmente a un servidor VMware vCenter interno e implantar BRICKSTORM. Sin embargo, aún se desconocen muchos detalles, como el vector de acceso inicial utilizado en el ataque y el momento en que se implementó el shell web.

También se ha descubierto que los atacantes aprovechan el acceso para obtener las credenciales de las cuentas de servicio y trasladarse lateralmente a un controlador de dominio en la DMZ mediante el Protocolo de escritorio remoto ( RDP ) para capturar información de Active Directory. Durante la intrusión, los atacantes consiguieron obtener las credenciales de una cuenta de proveedor de servicios gestionados (MSP), que luego utilizaron para pasar del controlador de dominio interno al servidor VMware vCenter.

La CISA dijo que los actores también se movieron lateralmente desde el servidor web mediante el bloque de mensajes del servidor ( SMB ) a dos servidores Jump y a un Active Directory Federation Services ( ADFS ), extrayendo las claves criptográficas de este último. En última instancia, el acceso a vCenter permitió al adversario implementar BRICKSTORM tras aumentar sus privilegios.

«BRICKSTORM utiliza controladores personalizados para configurar un proxy SOCKS, crear un servidor web en el sistema comprometido y ejecutar comandos en el sistema comprometido», afirma, y añade que algunos artefactos están «diseñados para funcionar en entornos virtualizados, mediante un socket virtual ( CALCETÍN ) para permitir la comunicación entre máquinas virtuales, facilitar la filtración de datos y mantener la persistencia».

Warp Panda usa BRICKSTORM contra entidades estadounidenses

CrowdStrike, en su análisis de Warp Panda, afirmó que este año había detectado múltiples intrusiones dirigidas a entornos VMware vCenter en entidades legales, tecnológicas y de fabricación con sede en EE. UU., lo que llevó al despliegue de BRICKSTORM. Se cree que el grupo ha estado activo al menos desde 2022.

«Warp Panda exhibe un alto nivel de sofisticación técnica, habilidades avanzadas de seguridad de operaciones (OPSEC) y un amplio conocimiento de los entornos de nube y máquinas virtuales (VM)», dijo la empresa dijo . «Warp Panda demuestra un alto nivel de sigilo y es casi seguro que se centra en mantener un acceso encubierto, persistente y a largo plazo a las redes comprometidas».

La evidencia muestra que el grupo de hackers obtuvo acceso inicial a una entidad a fines de 2023. En los ataques, junto con BRICKSTORM, también se utilizaron dos implantes de Golang previamente indocumentados, a saber, Junction y GuestConduit, en hosts ESXi y máquinas virtuales invitadas, respectivamente.

Junction actúa como un servidor HTTP para escuchar las solicitudes entrantes y admite una amplia gama de capacidades para ejecutar comandos, proxys del tráfico de red e interactuar con máquinas virtuales invitadas a través de sockets de máquina virtual (VSOCK). GuestConduit, por otro lado, es un implante de tunelización del tráfico de red que reside en una máquina virtual invitada y establece un receptor VSOCK en el puerto 5555. Su responsabilidad principal es facilitar la comunicación entre las máquinas virtuales invitadas y los hipervisores.

Los métodos de acceso inicial implican la explotación de dispositivos periféricos conectados a Internet para pasar a entornos de vCenter, ya sea mediante credenciales válidas o abusando de las vulnerabilidades de vCenter. El movimiento lateral se logra mediante SSH y la cuenta de administración privilegiada de vCenter «vpxuser». El equipo de piratas informáticos también ha utilizado el Protocolo seguro de transferencia de archivos ( SFTP ) para mover datos entre hosts.

Algunas de las vulnerabilidades explotadas se enumeran a continuación:

Todo el modus operandi gira en torno a mantener el sigilo borrando los registros, acelerando el tiempo de los archivos y creando máquinas virtuales no autorizadas que se apagan después de su uso. BRICKSTORM, que se hace pasar por procesos benignos de vCenter, se emplea para canalizar el tráfico a través de los servidores vCenter, los hosts ESXi y las máquinas virtuales invitadas.

Al igual que los detalles compartidos por la CISA, CrowdStrike señaló que los atacantes utilizaron su acceso a los servidores vCenter para clonar máquinas virtuales de controladores de dominio, posiblemente en un intento por recopilar la base de datos de servicios de dominio de Active Directory. También se ha descubierto a los atacantes accediendo a las cuentas de correo electrónico de los empleados que trabajan en áreas afines a los intereses del gobierno chino.

«Es probable que Warp Panda haya utilizado su acceso a una de las redes comprometidas para realizar un reconocimiento rudimentario contra una entidad gubernamental de Asia Pacífico», dijo la empresa. «También se conectaron a varios blogs de ciberseguridad y a un repositorio de GitHub en mandarín».

Otro aspecto importante de las actividades de Warp Panda es su enfoque en establecer la persistencia en entornos de nube y acceder a datos confidenciales. Al describirlo como un «adversario preocupado por la nube», CrowdStrike afirmó que los atacantes aprovecharon su acceso a los entornos Microsoft Azure de las entidades para acceder a los datos almacenados en OneDrive, SharePoint y Exchange.

En al menos un incidente, los piratas informáticos lograron hacerse con los tokens de sesión de los usuarios, probablemente filtrando los archivos del navegador de los usuarios y canalizando el tráfico a través de los implantes BRICKSTORM para acceder a los servicios de Microsoft 365 mediante un ataque de reproducción de sesiones y descargar archivos de SharePoint relacionados con los equipos de ingeniería de redes y respuesta a incidentes de la organización.

Los atacantes también han recurrido a otras formas de configurar la persistencia, como registrar un nuevo dispositivo de autenticación multifactor (MFA) mediante un código de la aplicación Authenticator tras iniciar sesión inicialmente en una cuenta de usuario. En otra intrusión, se utilizó la API Graph de Microsoft para enumerar los principales servicios, las aplicaciones, los usuarios, las funciones de directorio y los correos electrónicos.

«El adversario ataca principalmente a entidades de Norteamérica y mantiene constantemente un acceso encubierto y persistente a las redes comprometidas, lo que probablemente respalde los esfuerzos de recopilación de información alineados con los intereses estratégicos de la República Popular China», dijo CrowdStrike.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.