СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.04.2025
#Dev#ИБ#Инфра#Облака

BRICKSTORM: Новый бэкдор и угрозы кибершпионажа

BRICKSTORM: Новый бэкдор и угрозы кибершпионажа

Недавний технический отчет представляет собой глубокий анализ вредоносного ПО BRICKSTORM, бэкдора, связанным с китайским хакерским кластером UNC5221. Этот малварный софт теперь был обнаружен в средах Windows, тогда как ранее его проявления ограничивались системами на базе Linux.

Цели и тактика вредоносного ПО

BRICKSTORM нацелен на европейские отрасли, которые имеют стратегическое значение для Китайской Народной Республики. Данная угроза является частью продолжающихся кампаний кибершпионажа, начиная как минимум с 2022 года. В отличие от большинства кибервзломов, направленных на вымогательство, BRICKSTORM функционирует с высокой степенью скрытности, позволяя злоумышленникам оставаться незамеченными на протяжении длительного времени.

Характеристики и функциональность BRICKSTORM

BRICKSTORM использует неизвестные уязвимости и малошумные бэкдоры. Его возможности включают:

  • Управление файлами — возможность просматривать, загружать, скачивать, переименовывать и удалять файлы через простое HTTP API;
  • Сетевое туннелирование — возможность ретранслировать трафик по таким протоколам, как RDP и SMB;
  • Сложная система команд и управления — взаимодействие с серверами Command & Control (C2) через DNS по протоколу HTTPS (DoH).

Методы скрытности и обхода безопасности

Последние версии BRICKSTORM, написанные на Go, используют механизмы сохранения, такие как запланированные задачи, для обеспечения выполнения. Вредоносное ПО устанавливает защищенную связь через вложенные TLS-соединения, обходя обычные меры безопасности, включая проверку подлинности сертификата.

Кроме того, BRICKSTORM использует различные общедоступные службы Министерства здравоохранения для разрешения доменных имен, обеспечивая тем самым уклонение от традиционного мониторинга сети. Для управления инфраструктурой злоумышленники часто используют бессерверные платформы, такие как Cloudflare и Heroku, что еще больше усложняет идентификацию легального трафика в обычных условиях использования.

Рекомендации по смягчению последствий

Авторитетные эксперты предлагают несколько стратегий, чтобы противостоять угрозе BRICKSTORM:

  • Увеличение бдительности к необычным длительным процессам в системах;
  • Внедрение передовых методов поиска угроз;
  • Установление правил обнаружения вторжений, специально предназначенных для известных подключений BRICKSTORM C2;

Заключение

Сложный характер BRICKSTORM подчеркивает меняющийся ландшафт угроз в сфере кибербезопасности. Использование передовых протоколов и скрытных операций создает серьезные проблемы для групп реагирования на инциденты и требует повышенного внимания к вопросам безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: