СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
28.12.2025
#ИБ

BRICKSTORM: ELF-бэкдор на Go с C2 через DoH и VSOCK

Коротко: Агентство по кибербезопасности и инфраструктурной безопасности (CISA) совместно с партнёрскими организациями опубликовало подробный анализ вредоносного ПО BRICKSTORM. Исследование основано на анализе множества образцов и описывает векторы доступа, механизмы закрепления, методы командования и контроля (C2) и набор индикаторов компрометации (IOCs).

BRICKSTORM — это бэкдор, идентифицированный как используемый спонсируемыми государством кибер-акторами из Китайской Народной Республики (КНР) для получения долгосрочного доступа к системам жертв.

Что такое BRICKSTORM

BRICKSTORM классифицируется как бэкдор пользовательского исполняемого файла и связываемого формата (ELF). Большинство образцов написаны преимущественно на Go. В отчёте отмечено, что набор данных включает обновления и дополнительные образцы, охватывающие период до конца декабря 2025 года.

Вектор первоначального доступа и фиксация в системе

По данным CISA, типичный сценарий внедрения выглядел так:

  • Первоначальный доступ через web-server в демилитаризованной зоне (DMZ), где злоумышленники использовали web shell (соответствует технике T1505.003).
  • Повышение привилегий с помощью команды sudo (техника T1548.003).
  • Закрепление: размещение бинарника BRICKSTORM в системном каталоге /etc/sysconfig/ и настройка init-файла для автозапуска при загрузке ОС.

Механизмы закрепления в образцах содержат встроенные процедуры самоконтроля (main_startNew и main_selfWatcher), обеспечивающие переустановку и перезапуск при обнаружении сбоев.

Функциональные возможности и каналы C2

BRICKSTORM спроектирован для скрытных операций и поддерживает набор возможностей для долгосрочного контроля над скомпрометированными системами:

  • Установление защищённого соединения с сервером командования и контроля (C2) с использованием зашифрованных сообщений.
  • Передача команд через разные каналы: генерация DNS-запросов для взаимодействия с доменами C2 через DNS-over-HTTPS (DoH), использование SOCKS-прокси для перемещения внутри сети и туннелирования данных.
  • Поддержка разных механизмов получения конфигурации: из переменных окружения, из конфигураций TLS и прочих источников — поведение варьируется в зависимости от образца.
  • Некоторые образцы демонстрируют поддержку виртуализированных окружений через интерфейсы VSOCK, что облегчает коммуникацию и эксфильтрацию данных в виртуализованных средах.

Различия между образцами

Исследование подчёркивает эволюцию семейства BRICKSTORM:

  • Ранние образцы используют зашифрованные DNS-запросы к доменам C2.
  • Поздние образцы внедряют дополнительные методы связи и извлечения конфигурации, что усложняет детектирование.
  • Во всех вариантах присутствуют механизмы устойчивости и восстановления, позволяющие вредоносу сохранять доступ даже после попыток удаления.

Индикаторы компрометации и рекомендации

CISA и партнёры подготовили конкретные индикаторы компрометации (IOCs) и правила обнаружения, включая сигнатуры YARA и Sigma. Рекомендуемые меры для организаций:

  • Активно внедрить и применить предоставленные правила YARA и Sigma для обнаружения активности BRICKSTORM.
  • Проверить наличие записей и артефактов, связанных с размещением в /etc/sysconfig/ и модификацией init-скриптов.
  • Аудит доступа к DMZ и проверка наличия web shell’ов на публичных web-server’ах.
  • Мониторинг нестандартных DNS-запросов, особенно тех, что могут указывать на DoH-трафик к подозрительным доменам.
  • Проверка использования SOCKS-прокси и нетипичных исходящих соединений, а также мониторинг активности в виртуализированных средах через VSOCK-интерфейсы.
  • При обнаружении признаков заражения — немедленно сообщать соответствующим органам и делиться данными с CISA/партнёрами для дальнейшего расследования.

Заключение

BRICKSTORM представляет собой функционально насыщенный бэкдор, ориентированный на долгосрочное скрытное присутствие и гибкие способы коммуникации с C2. Эволюция образцов и использование разнообразных каналов связи (DoH, SOCKS, VSOCK и др.) повышают сложность обнаружения и борьбы с угрозой. Организациям рекомендуется немедленно применить опубликованные IOCs и правила обнаружения, усилить мониторинг DMZ и web-server’ов, а также оперативно сообщать о случаях компрометации компетентным структурам.

Источник: Аналитическая сводка CISA и партнёрских организаций на основе анализа множества образцов BRICKSTORM (обновления охватывают образцы до конца декабря 2025 года).

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: