BRICKSTORMは、バックドア型マルウェアです。
このマルウェアは感染してから非常に長い期間が経過してから実際の活動を開始する動きをしていることが確認されています。
ここのところは潜伏期間の短い脅威活動が目立つ状況となっていますが、それだけじゃなかったという話です。
- 長い潜伏期間
多くの活動があったことが研究で確認されていますが、その平均滞留時間は393日でした。
脅威の解析を実施しようとする場合、システムの記録をさかのぼって調査しますが、1年を超える期間のログを記録できているシステムは多くありません。
このため、正確な初期アクセスについての解析は実現できていません。
可能性としては、なんらかの脆弱性が悪用されたと考えられますが、推測の域を出ていません。
感染したマルウェアは活動を開始する日を指定された状態で配布されていましたが、ある例ではその日は数か月先を示していたと考えられます。
感染して数か月の期間じっと待つのです。 - 狙われた対象
この脅威活動で狙われた対象は、VMware vCenterやESXiエンドポイントなどのEDRをサポートしていないアプライアンスでした。
そして、動作時にC2と通信する際には、CloudflareやHerokuなどのそういった環境で利用されていそうな正当なトラフィックを装って行われるため、異常として検出されにくい状態になっていました。 - BRICKSTORMの機能
BRICKSTORMは多くの機能を持っています。
攻撃者は足場を確立した後、vCenter上の悪意のあるJava Servlet Filter(Bricksteal)を使用して権限を昇格し、資格情報を取得し、Windows Server VMを複製して秘密を抽出しようとしました。
そして、その盗まれた認証情報は、ESXi上でSSHを有効にしたり、init.dやsystemdといった環境で利用されている起動スクリプトを変更したりするなど、横方向の移動と永続化に使用されました。
BRICKSTORMの主な運用目的は、SOCKSプロキシを使用して内部システムやコードリポジトリにトンネルし、高いレベルのステルス性を維持しながら、Microsoft Entra ID Enterprise Apps経由で電子メールの内容を盗み出すことでした。 - BRICKSTORMの自動消去
BRICKSTORMは、活動目標を達成すると自分自身を削除します。
今回観測されたBRICKSTORMの活動は、感染後長い期間潜伏することで調査を難航させ、動き出して目的を達成すると自分を消す、そして活動で使用するC2ドメインは複数回は利用しない、と、徹底した検出対策を含む活動内容となっています。
研究者の作成したこのマルウェアの検出に利用できるYARAルールが無料で配布されていて利用できますが、こういったものは対策の補助であってメインにはなりません。
自分たちの身を守るのは最終的には確かなパッチケイデンスの維持ということが言えそうです。
Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors
https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign?hl=en
| この記事をシェア |
|
|---|
