CISA báo cáo tin tặc Trung Quốc sử dụng BRICKSTORM để truy cập vào các hệ thống

[T-X]

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ năm đã công bố thông tin chi tiết về một cửa hậu có tên BRICKSTORM đã được các tác nhân đe dọa do nhà nước Cộng hòa Nhân dân Trung Hoa (PRC) tài trợ sử dụng để duy trì sự tồn tại lâu dài trên các hệ thống bị xâm phạm.

"BRICKSTORM là một backdoor tinh vi cho môi trường VMware vSphere và Windows", cơ quan này cho biết. "BRICKSTORM cho phép các tác nhân đe dọa mạng duy trì quyền truy cập ẩn và cung cấp khả năng khởi tạo, duy trì và kiểm soát an toàn."

Được viết bằng Golang, bản cài đặt tùy chỉnh về cơ bản cung cấp cho những kẻ xấu quyền truy cập shell tương tác vào hệ thống và cho phép chúng duyệt, tải lên, tải xuống, tạo, xóa và thao tác các tệp

Phần mềm độc hại này, chủ yếu được sử dụng trong các cuộc tấn công nhắm vào chính phủ và các lĩnh vực công nghệ thông tin (CNTT), cũng hỗ trợ nhiều giao thức, chẳng hạn như HTTPS, WebSockets và Giao thức bảo mật lớp truyền tải (TLS) lồng nhau, để chỉ huy và kiểm soát (C2), DNS-over-HTTPS (DoH) để che giấu thông tin liên lạc và hòa nhập với lưu lượng truy cập bình thường, đồng thời có thể hoạt động như một proxy SOCKS để tạo điều kiện cho việc di chuyển ngang hàng.

Cơ quan an ninh mạng không tiết lộ có bao nhiêu cơ quan chính phủ bị ảnh hưởng hoặc loại dữ liệu nào đã bị đánh cắp. Hoạt động này cho thấy sự phát triển chiến thuật liên tục của các nhóm tin tặc Trung Quốc, những kẻ liên tục tấn công các thiết bị mạng biên để xâm nhập mạng lưới và cơ sở hạ tầng đám mây.

Trong một tuyên bố chia sẻ với Reuters, người phát ngôn của đại sứ quán Trung Quốc tại Washington đã bác bỏ những cáo buộc này, nói rằng chính phủ Trung Quốc không "khuyến khích, hỗ trợ hoặc tiếp tay cho các cuộc tấn công mạng".

BRICKSTORM lần đầu tiên được Google Mandiant ghi nhận vào năm 2024 trong các cuộc tấn công liên quan đến việc khai thác lỗ hổng zero-day của Ivanti Connect Secure (CVE-2023-46805 và CVE-2024-21887). Việc sử dụng phần mềm độc hại này được cho là do hai cụm được theo dõi là UNC5221 và một đối thủ mới có liên hệ với Trung Quốc được CrowdStrike theo dõi là Warp Panda.

Đầu tháng 9 này, Mandiant và Google Threat Intelligence Group (GTIG) cho biết họ đã quan sát thấy các dịch vụ pháp lý, nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), công ty gia công quy trình kinh doanh (BPO) và các lĩnh vực công nghệ tại Hoa Kỳ đang bị UNC5221 và các nhóm hoạt động đe dọa có liên quan chặt chẽ khác nhắm mục tiêu để phát tán phần mềm độc hại.

Theo CISA, một tính năng chính của phần mềm độc hại này là khả năng tự động cài đặt lại hoặc khởi động lại thông qua chức năng tự giám sát cho phép tiếp tục hoạt động ngay cả khi có bất kỳ sự gián đoạn tiềm ẩn nào.

Trong một trường hợp được phát hiện vào tháng 4 năm 2024, các tác nhân đe dọa được cho là đã truy cập vào một máy chủ web bên trong khu vực phi quân sự (DMZ) của một tổ chức bằng cách sử dụng web shell, trước khi di chuyển ngang sang máy chủ VMware vCenter nội bộ và cài đặt BRICKSTORM. Tuy nhiên, nhiều chi tiết vẫn chưa được biết, bao gồm cả phương thức truy cập ban đầu được sử dụng trong cuộc tấn công và thời điểm web shell được triển khai.

Kẻ tấn công cũng bị phát hiện đã lợi dụng quyền truy cập để lấy thông tin đăng nhập tài khoản dịch vụ và di chuyển ngang đến bộ điều khiển miền trong DMZ bằng Giao thức Máy tính Từ xa ( RDP ) để thu thập thông tin Active Directory. Trong quá trình xâm nhập, kẻ tấn công đã lấy được thông tin đăng nhập của tài khoản nhà cung cấp dịch vụ được quản lý (MSP), sau đó sử dụng thông tin này để chuyển từ bộ điều khiển miền nội bộ sang máy chủ VMware vCenter.

CISA cho biết các tác nhân cũng di chuyển ngang từ máy chủ web bằng cách sử dụng Server Message Block ( SMB ) đến hai máy chủ nhảy và một máy chủ Active Directory Federation Services ( ADFS ), đánh cắp khóa mật mã từ máy chủ ADFS. Việc truy cập vào vCenter cuối cùng đã cho phép kẻ tấn công triển khai BRICKSTORM sau khi nâng cao đặc quyền.

"BRICKSTORM sử dụng trình xử lý tùy chỉnh để thiết lập proxy SOCKS, tạo máy chủ web trên hệ thống bị xâm phạm và thực thi các lệnh trên hệ thống bị xâm phạm", báo cáo cho biết, đồng thời nói thêm rằng một số hiện vật được "thiết kế để hoạt động trong môi trường ảo hóa, sử dụng giao diện ổ cắm ảo ( VSOCK ) để cho phép giao tiếp giữa các máy ảo (VM), tạo điều kiện cho việc trích xuất dữ liệu và duy trì tính bền bỉ".

Warp Panda sử dụng BRICKSTORM chống lại các thực thể Hoa Kỳ. Trong phân tích về Warp Panda, CrowdStrike cho biết họ đã phát hiện nhiều cuộc xâm nhập nhắm vào môi trường VMware vCenter tại các đơn vị pháp lý, công nghệ và sản xuất tại Hoa Kỳ trong năm nay, dẫn đến việc triển khai BRICKSTORM. Nhóm này được cho là đã hoạt động ít nhất từ năm 2022.

"Warp Panda thể hiện trình độ kỹ thuật cao, kỹ năng bảo mật vận hành (OPSEC) tiên tiến và kiến thức sâu rộng về môi trường đám mây và máy ảo (VM)", công ty cho biết. "Warp Panda thể hiện khả năng ẩn mình cao và gần như chắc chắn tập trung vào việc duy trì quyền truy cập liên tục, lâu dài và bí mật vào các mạng bị xâm nhập."

Bằng chứng cho thấy nhóm tin tặc đã có được quyền truy cập ban đầu vào một thực thể vào cuối năm 2023. Cũng được triển khai trong các cuộc tấn công cùng với BRICKSTORM là hai bản cấy ghép Golang trước đây chưa được ghi nhận, cụ thể là Junction và GuestConduit, trên máy chủ ESXi và máy ảo khách.

Junction hoạt động như một máy chủ HTTP để lắng nghe các yêu cầu đến và hỗ trợ nhiều khả năng thực thi lệnh, proxy lưu lượng mạng và tương tác với máy ảo khách thông qua socket máy ảo (VSOCK). Mặt khác, GuestConduit là một chương trình cấy ghép đường hầm lưu lượng mạng nằm trong máy ảo khách và thiết lập trình nghe VSOCK trên cổng 5555. Nhiệm vụ chính của nó là tạo điều kiện thuận lợi cho việc giao tiếp giữa máy ảo khách và trình quản lý ảo hóa.

Phương pháp truy cập ban đầu bao gồm việc khai thác các thiết bị biên kết nối internet để chuyển sang môi trường vCenter, bằng cách sử dụng thông tin đăng nhập hợp lệ hoặc lợi dụng lỗ hổng vCenter. Việc di chuyển ngang được thực hiện bằng cách sử dụng SSH và tài khoản quản lý vCenter đặc quyền "vpxuser". Nhóm tin tặc cũng đã sử dụng Giao thức Truyền Tệp An toàn ( SFTP ) để di chuyển dữ liệu giữa các máy chủ.

Một số lỗ hổng đã bị khai thác được liệt kê dưới đây:

    CVE-2024-21887 (Ivanti Connect Secure)
    CVE-2023-46805 (Ivanti Connect Secure)
    CVE-2024-38812 (VMware vCenter)
    CVE-2023-34048 (VMware vCenter)
    CVE-2021-22005 (VMware vCenter)
    CVE-2023-46747 (F5 BIG-IP)

Toàn bộ phương thức hoạt động xoay quanh việc duy trì tính ẩn danh bằng cách xóa nhật ký, ghi đè tệp và tạo các máy ảo (VM) độc hại bị tắt sau khi sử dụng. BRICKSTORM, ngụy trang thành các quy trình vCenter lành tính, được sử dụng để tạo đường hầm lưu lượng truy cập qua các máy chủ vCenter, máy chủ ESXi và máy ảo khách.

Tương tự như thông tin chi tiết được CISA chia sẻ, CrowdStrike lưu ý rằng những kẻ tấn công đã sử dụng quyền truy cập vào máy chủ vCenter để sao chép các máy ảo bộ điều khiển miền (VM), có thể nhằm mục đích thu thập cơ sở dữ liệu Dịch vụ Miền Active Directory (ADD). Chúng cũng bị phát hiện truy cập vào tài khoản email của các nhân viên làm việc trong các lĩnh vực liên quan đến lợi ích của chính phủ Trung Quốc.

"Warp Panda có thể đã sử dụng quyền truy cập vào một trong những mạng bị xâm nhập để tiến hành hoạt động do thám sơ bộ nhắm vào một cơ quan chính phủ ở khu vực Châu Á - Thái Bình Dương", công ty cho biết. "Chúng cũng kết nối với nhiều blog an ninh mạng và một kho lưu trữ GitHub bằng tiếng Quan Thoại."

Một khía cạnh quan trọng khác trong hoạt động của Warp Panda là chúng tập trung vào việc thiết lập tính bền vững trong môi trường đám mây và truy cập dữ liệu nhạy cảm. CrowdStrike mô tả chúng là "kẻ thù có ý thức về đám mây", cho biết những kẻ tấn công đã lợi dụng quyền truy cập vào môi trường Microsoft Azure của các thực thể để truy cập dữ liệu được lưu trữ trong OneDrive, SharePoint và Exchange.

Trong ít nhất một sự cố, tin tặc đã chiếm được mã thông báo phiên của người dùng, có thể bằng cách đánh cắp các tệp trình duyệt của người dùng và truyền lưu lượng qua các phần mềm BRICKSTORM để truy cập vào các dịch vụ Microsoft 365 thông qua cuộc tấn công phát lại phiên và tải xuống các tệp SharePoint liên quan đến nhóm ứng phó sự cố và kỹ thuật mạng của tổ chức.

Kẻ tấn công cũng đã sử dụng các phương pháp bổ sung để thiết lập tính bền bỉ, chẳng hạn như đăng ký thiết bị xác thực đa yếu tố (MFA) mới thông qua mã ứng dụng Authenticator sau khi đăng nhập lần đầu vào tài khoản người dùng. Trong một vụ xâm nhập khác, Microsoft Graph API đã được sử dụng để liệt kê các chủ thể dịch vụ, ứng dụng, người dùng, vai trò thư mục và email.

CrowdStrike cho biết: "Kẻ thù chủ yếu nhắm vào các thực thể ở Bắc Mỹ và liên tục duy trì quyền truy cập bí mật vào các mạng bị xâm phạm, có khả năng hỗ trợ các nỗ lực thu thập thông tin tình báo phù hợp với lợi ích chiến lược của Cộng hòa Nhân dân Trung Hoa".