Um grupo de hackers associado à China tem estado a utilizar um novo e perigoso malware de espionagem, apelidado de Brickstorm, para se infiltrar em organizações norte-americanas nos setores da tecnologia e advocacia. A ameaça destaca-se pela sua capacidade de permanecer oculta nas redes das vítimas por um período médio impressionante de 393 dias antes de ser descoberta.
Segundo um relatório do Google Threat Intelligence Group (GTIG), esta campanha de ciberespionagem visa o roubo de dados sensíveis a longo prazo. Os alvos incluem também fornecedores de software como serviço (SaaS) e empresas de outsourcing de processos de negócio (BPOs), o que representa um risco acrescido para toda a cadeia de abastecimento digital. Os investigadores atribuem estes ataques ao grupo UNC5221, já conhecido por explorar vulnerabilidades de dia-zero em sistemas Ivanti.
Como funciona o ataque silencioso do Brickstorm?
O Brickstorm é um backdoor desenvolvido na linguagem de programação Go, que lhe confere versatilidade para atuar como servidor web, ferramenta de manipulação de ficheiros, retransmissor SOCKS e executor de comandos remotos. O método de entrada inicial não foi determinado com total certeza, devido às táticas anti-forenses dos atacantes, mas suspeita-se que a exploração de vulnerabilidades em dispositivos de rede periféricos seja o ponto de partida.
Uma vez na rede, o malware é implementado em sistemas que geralmente não suportam soluções de Deteção e Resposta de Endpoint (EDR), como endpoints VMware vCenter/ESXi. Para evitar a deteção, a sua comunicação com os servidores de comando e controlo (C2) é disfarçada para se assemelhar a tráfego legítimo de serviços como a Cloudflare ou a Heroku.
O objetivo: roubo de dados e persistência a longo prazo
Com um pé dentro do sistema, o grupo UNC5221 foca-se em escalar privilégios. Para isso, utiliza ferramentas como um filtro Java Servlet malicioso (Bricksteal) no vCenter para capturar credenciais. Os atacantes chegam a clonar máquinas virtuais do Windows Server para extrair segredos e informações valiosas.
As credenciais roubadas são depois usadas para se moverem lateralmente pela rede e garantir a sua persistência, por exemplo, ativando o acesso SSH nos sistemas ESXi e modificando scripts de arranque. O objetivo final do Brickstorm é a exfiltração de dados, com um foco particular em emails, através de aplicações empresariais do Microsoft Entra ID, e no acesso a repositórios de código internos.
A investigação da Google indica que o grupo tem um interesse especial em programadores, administradores de sistemas e indivíduos ligados aos interesses económicos e de segurança da China. No final da operação, o malware é meticulosamente removido para dificultar qualquer investigação forense.
A defesa: Mandiant lança ferramentas para detetar a ameaça
Para ajudar as organizações a defenderem-se, a Mandiant, uma subsidiária da Google, lançou um script de verificação gratuito que replica uma regra YARA para detetar o Brickstorm em equipamentos Linux e BSD. O relatório inclui ainda regras YARA específicas para as ferramentas Bricksteal e Slaystyle.
No entanto, a Mandiant alerta que o seu scanner pode não detetar todas as variantes do malware, não garante uma deteção de 100% e não verifica os mecanismos de persistência utilizados pelos atacantes, servindo como uma primeira linha de defesa contra esta ameaça sofisticada e silenciosa.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech