Агентство кибербезопасности и инфраструктурной безопасности США (CISA), Агентство национальной безопасности США (NSA) и Канадский центр кибербезопасности (Cyber Centre) опубликовали обновленный отчет об анализе вредоносного программного обеспечения под названием BRICKSTORM. Эксперты пришли к выводу, что эта продвинутая вредоносная программа связана с деятельностью кибергрупп, поддерживаемых государством Китайской Народной Республики (КНР). Бэкдор предназначен для обеспечения длительной скрытности на скомпрометированных системах, в первую очередь в инфраструктуре виртуализации VMware vSphere, а также в средах Windows.
Описание
Основной целью атак становятся организации государственного сектора, сферы услуг и информационных технологий. Вредоносная программа представляет собой сложный инструмент для удаленного доступа, написанный на языках Go и Rust. После внедрения BRICKSTORM позволяет злоумышленникам не только контролировать систему, но и скрытно перемещаться по сети, а также похищать конфиденциальные данные, включая снимки виртуальных машин для извлечения учетных данных.
Один из задокументированных случаев инцидента демонстрирует высокую устойчивость угрозы. Киберакторы получили доступ к внутренней сети организации еще в апреле 2024 года, загрузили BRICKSTORM на сервер VMware vCenter и сохраняли контроль как минимум до сентября 2025 года. За это время они скомпрометировали контроллеры домена и сервер служб федерации Active Directory (ADFS), экспортировав криптографические ключи.
Технический анализ и методы работы
BRICKSTORM обладает комплексным набором функций для инициации, обеспечения устойчивости и скрытного управления. Для маскировки он использует легитимные имена системных процессов, такие как "vmsrc" или "vnetd". Механизм устойчивости включает самонаблюдение: если процесс бэкдора завершается, он автоматически восстанавливает себя из заранее определенного пути, например, "/etc/sysconfig/". Кроме того, вредоносная программа манипулирует переменной окружения PATH, чтобы гарантировать выполнение своей копии при вызове определенных системных утилит.
Для организации канала управления (command and control, C2) BRICKSTORM применяет многоуровневое шифрование, что значительно затрудняет обнаружение. Он использует DNS поверх HTTPS (DoH) для разрешения адресов своих серверов управления, обращаясь к публичным сервисам, таким как Cloudflare ("1.1.1.1") или Google ("8.8.8.8"). Далее связь устанавливается через безопасные веб-сокеты (WebSockets Secure, WSS) с дополнительными слоями защиты транспортного уровня (TLS). Некоторые образцы создают на зараженной системе веб-сервер с скрытым API, имитируя легитимный трафик.
Функциональность бэкдора предоставляет злоумышленникам широкий спектр возможностей. Через интерактивную оболочку они могут выполнять произвольные команды. Отдельные модули позволяют просматривать, загружать, скачивать и изменять файлы в файловой системе. Более того, BRICKSTORM может работать как SOCKS-прокси, обеспечивая туннелирование трафика и латеральное перемещение по сети жертвы. Образцы, нацеленные на виртуальные среды, также используют интерфейс виртуальных сокетов (VSOCK) для скрытой коммуникации между виртуальными машинами.
Рекомендации по обнаружению и защите
CISA, NSA и Cyber Centre настоятельно рекомендуют организациям, особенно использующим VMware vSphere, проверить свои системы на наличие индикаторов компрометации (IOC). В отчет включены детальные сигнатуры YARA и правила Sigma для систем мониторинга безопасности (SIEM). Эксперты подчеркивают, что для эффективного обнаружения необходимо анализировать логи vCenter.
Ключевые меры по смягчению рисков включают в себя незамедлительное обновление VMware vSphere до последних версий и строгое следование руководствам по усилению защиты. Крайне важно обеспечить правильную сегментацию сети, ограничивая трафик из демилитаризованной зоны (DMZ) во внутреннюю сеть. Следует отключить неиспользуемые протоколы удаленного доступа, такие как RDP и SMB, на критических границах. Применение принципа наименьших привилерий для сервисных учетных записей и усиленный мониторинг их активности также являются обязательными практиками. Дополнительно рекомендуется ограничить использование внешних сервисов DNS поверх HTTPS (DoH) в корпоративной сети.
В случае обнаружения активности, связанной с BRICKSTORM, организациям в США следует немедленно сообщить об этом в CISA, а канадским организациям - в Cyber Centre. Публикация данного отчета и технических деталей является частью стратегии коллективной обороны, направленной на повышение устойчивости критической инфраструктуры перед лицом сложных и целевых кибератак. Постоянное совершенствование тактик злоумышленников требует от сообщества специалистов по безопасности повышенной бдительности и активного обмена информацией об угрозах.
Индикаторы компрометации
MD5
- 34d6af5ae2ab7a08fa474358a0b95539
- 6c20a810134025a9f05cf312d4b34967
- d1f608cfb395d9274aa52b6a524d9fb5
SHA1
- 38f6baad1dff7466a07eb456808cc8aa46a3e50c
- 7cec4d74931d925996b03a75da0d79e95f47ed86
- fa664bb3369d4a48db88f4e8d7364f7582f64313
SHA256
- 6a67a9769a55ec889a5dd4199b2fc08965d39d737838836853bc13c81c56a800
- 77b49c854afd6746fee393711b48979376fb910b34105c0e18a3fdc24ea31d5c
- ed907d39efd5750236b075ca9fbb1f090d7bf578578c38faab24210d298a60ae
- 0cba5c6d16c7b94a450c36bfbaeab79107ac10aa9548b02c42b4b6ba8cef6a51
- 0e92009fc6519c837982b3fbfd42946e827de47b73a264d693739168533d07f4
- 28a16e782f04d9394b5dfa3363d41d9f5eecc206166aeffd73363d83734a026d
- 2bf9bfa1f9bcbcad0eada7e3be8d380d809248f08609f6e9d971b37ce09f7e93
- 320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759
- 57bd98dbb5a00e54f07ffacda1fea91451a0c0b532cd7d570e98ce2ff741c21d
- 6a67a9769a55ec889a5dd4199b2fc08965d39d737838836853bc13c81c56a800
- 6d42e9a0757670b9837034b5202d1673093577757b44bb0f0253f366413393e9
- aaf5569c8e349c15028bc3fac09eb982efb06eabac955b705a6d447263658e38
- b30041b986ee3231fd53522c9d0c57e4567d6c60959fa06c125dde2af558fc9f
- b91881cb1aa861138f2063ec130b2b01a8aaf0e3f04921e5cbfc61b09024bf12
- bfb3ffd46b21b2281374cd60bc756fe2dcc32486dcc156c9bd98f24101145454
- dfac2542a0ee65c474b91d3b352540a24f4e223f1b808b741cfe680263f0ee44
- ed907d39efd5750236b075ca9fbb1f090d7bf578578c38faab24210d298a60ae
- fb22eea57e00b83edad50ee6e02320377efc10586584c476d5018dbba3643c32
SHA512
- 7d263a40e32e0026e72d871a3c369e5977f4474137aaa7315a4207e2d696d877bd9b1cff2758975c1f6613c2c205e0f277b6503977a945721618b10949a8bfa8
- f060e3f7bc55d24f9a926988b395af2c14117fcb289c231546dd7022d2d32470f02e98fb4951bf11766604e03efa528b423916a4cdcb3894266cc5093d78657d
- feb8fe45092f2d42656bbf49450f242826598aa816307d11a5c8caec5647884ea245c8a099aee7a1a51f37f5273f6797055326768e48131d063ee4f089771299
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 | rule CISA_251165_02 : BRICKSTORM backdoor installs_other_components communicates_with_c2 exfiltrates_data { meta: author = "CISA Code & Media Analysis" incident = "251165" date = "2025-09-29" last_modified = "202051001_1008" actor = "n/a" family = "BRICKSTORM" capabilities = "installs-other-components communicates-with-c2 exfiltrates-data" malware_type = "backdoor" tool_type = "unknown" description = "Detects Go-Based BRICKSTORM backdoor samples" sha256_1 = "aaf5569c8e349c15028bc3fac09eb982efb06eabac955b705a6d447263658e38" strings: $s0 = { 6D 61 69 6E 2E 73 74 61 72 74 4E 65 77 } $s1 = { 6D 61 69 6E 2E 73 65 6C 66 57 61 74 63 68 65 72 } $s2 = { 6D 61 69 6E 2E 73 65 74 53 65 72 76 69 63 65 43 66 67 } $s3 = { 73 6F 63 6B 73 2E 48 61 6E 64 6C 65 53 6F 63 6B 73 52 65 71 75 65 73 74 } $s4 = { 77 65 62 2E 57 65 62 53 65 72 76 69 63 65 } $s5 = { 63 6F 6D 6D 61 6E 64 2E 48 61 6E 64 6C 65 54 54 59 52 65 71 75 65 73 74 } $s6 = { 77 65 62 73 6F 63 6B 65 74 2E 28 2A 57 53 43 6F 6E 6E 65 63 74 6F 72 29 2E 43 6F 6E 6E 65 63 74 } $s7 = { 66 73 2E 28 2A 57 65 62 53 65 72 76 65 72 29 2E 52 75 6E 53 65 72 76 65 72 } $s8 = { 68 74 74 70 73 3A 2F 2F 31 2E 30 2E 30 2E 31 2F 64 6E 73 2D 71 75 65 72 79 } $s9 = { 68 74 74 70 73 3A 2F 2F 31 2E 31 2E 31 2E 31 2F 64 6E 73 2D 71 75 65 72 79 } $s10 = { 68 74 74 70 73 3A 2F 2F 38 2E 38 2E 34 2E 34 2F 64 6E 73 2D 71 75 65 72 79 } $s11 = { 68 74 74 70 73 3A 2F 2F 38 2E 38 2E 38 2E 38 2F 64 6E 73 2D 71 75 65 72 79 } $s12 = { 68 74 74 70 73 3A 2F 2F 39 2E 39 2E 39 2E 39 2F 64 6E 73 2D 71 75 65 72 79 } condition: 8 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | rule CISA_251155_02 : BRICKSTORM backdoor installs_other_components communicates_with_c2 exfiltrates_data { meta: author = "CISA Code & Media Analysis" incident = "251155" date = "2025-09-15" last_modified = "20250916_1511" actor = "n/a" family = "BRICKSTORM" capabilities = "installs-other-components communicates-with-c2 exfiltrates-data" malware_type = "backdoor" tool_type = "unknown" description = "Detects Go-Based BRICKSTORM backdoor samples" sha256_1 = "320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759" sha256_1 = "dfac2542a0ee65c474b91d3b352540a24f4e223f1b808b741cfe680263f0ee44" sha256_1 = "b91881cb1aa861138f2063ec130b2b01a8aaf0e3f04921e5cbfc61b09024bf12" sha256_1 = "bfb3ffd46b21b2281374cd60bc756fe2dcc32486dcc156c9bd98f24101145454" strings: $s0 = { 04 30 0F B6 54 04 2C 31 D1 88 4C 04 34 48 FF C0 } $s1 = { 48 83 F8 04 7C E7 48 C7 04 24 } $s2 = { 48 8D 44 24 34 48 89 44 24 08 48 C7 44 24 10 04 } $s3 = { 48 89 44 24 48 48 89 4C 24 50 48 8B 6C 24 38 48 } $s4 = { 48 83 EC 40 48 89 6C 24 38 48 8D 6C 24 38 C7 44 24 } $s5 = { 83 EC 38 48 89 6C 24 30 48 8D 6C 24 30 C6 44 24 } $s6 = { 4C 24 20 48 89 44 24 40 48 89 4C 24 48 48 8B 6C } $s7 = { 64 48 8B 0C 25 F8 FF FF FF 48 3B 61 10 0F 86 81 } $s8 = { 64 48 8B 0C 25 F8 FF FF FF 48 3B 61 10 0F 86 91 } condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | rule CISA_251155_01 : BRICKSTORM backdoor installs_other_components communicates_with_c2 exfiltrates_data { meta: author = "CISA Code & Media Analysis" incident = "251155" date = "2025-09-15" last_modified = "20250916_1511" actor = "n/a" family = "BRICKSTORM" capabilities = "installs-other-components communicates-with-c2 exfiltrates-data" malware_type = "backdoor" tool_type = "unknown" description = "Detects Go-Based BRICKSTORM backdoor samples" sha256_1 = "2bf9bfa1f9bcbcad0eada7e3be8d380d809248f08609f6e9d971b37ce09f7e93" sha256_2 = "6d42e9a0757670b9837034b5202d1673093577757b44bb0f0253f366413393e9" sha256_3 = "b30041b986ee3231fd53522c9d0c57e4567d6c60959fa06c125dde2af558fc9f" strings: $s0 = { 88 14 08 48 FF C1 } $s1 = { 2F 63 6F 72 65 2F 74 61 73 6B 2E 44 6F 54 61 73 6B 2E 66 75 6E 63 31 } $s2 = { 2F 63 6F 72 65 2F 74 61 73 6B 2E 44 6F 54 61 73 6B 2E 66 75 6E 63 31 2E 32 } $s3 = { 2F 63 6F 72 65 2F 65 78 74 65 6E 64 73 2F 77 65 62 2E 57 65 62 53 65 72 76 69 63 65} $s4 = { 2F 63 6F 72 65 2F 65 78 74 65 6E 64 73 2F 77 65 62 2E 57 65 62 53 65 72 76 69 63 65 2E 66 75 6E 63 31 } $s5 = { 63 6F 72 65 2F 65 78 74 65 6E 64 73 2F 73 6F 63 6B 73 2E 53 6F 63 6B 73 } $s6 = { 63 6F 72 65 2F 65 78 74 65 6E 64 73 2F 73 6F 63 6B 73 2E 53 6F 63 6B 73 2E 66 75 6E 63 31 } $s7 = { 63 6F 72 65 2F 65 78 74 65 6E 64 73 2F 63 6F 6D 6D 61 6E 64 2E 43 6F 6D 6D 61 6E 64} $s8 = { 6C 69 62 73 2F 64 6F 68 2E 51 75 65 72 79 } $s9 = { 2F 76 65 6E 64 6F 72 2F 68 61 73 68 69 63 6F 72 70 2F 79 61 6D 75 78 2E 53 65 72 76 65 72 } condition: 3 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 | rule CISA_251217_03 : BRICKSTORM backdoor installs_other_components communicates_with_c2 exfiltrates_data { meta: author = "CISA Code & Media Analysis" incident = "251217" date = "2025-12-10" last_modified = "20251216_729" actor = "n/a" family = "BRICKSTORM" capabilities = "installs-other-components communicates-with-c2 exfiltrates-data" malware_type = "backdoor" tool_type = "unknown" description = "Detects Rust BRICKSTORM backdoor samples" sha256_1 = "6a67a9769a55ec889a5dd4199b2fc08965d39d737838836853bc13c81c56a800" sha256_2 = "ed907d39efd5750236b075ca9fbb1f090d7bf578578c38faab24210d298a60ae" sha256_3 = "0e92009fc6519c837982b3fbfd42946e827de47b73a264d693739168533d07f4" sha256_4 = "fb22eea57e00b83edad50ee6e02320377efc10586584c476d5018dbba3643c32" sha256_5 = "28a16e782f04d9394b5dfa3363d41d9f5eecc206166aeffd73363d83734a026d" strings: $s0 = { 20 55 70 67 72 61 64 65 3A 20 77 65 62 73 6F 63 6B 65 74 43 6F 6E 6E 65 63 74 69 6F 6E 3A } $s1 = { 20 55 70 67 72 61 64 65 53 65 63 2D 57 65 62 73 6F 63 6B 65 74 2D 4B 65 79 3A } $s2 = { 20 53 65 63 2D 57 65 62 53 6F 63 6B 65 74 2D 56 65 72 73 69 6F 6E 3A } $s3 = { 57 65 62 53 6F 63 6B 65 74 53 65 63 2D 57 65 62 53 6F 63 6B 65 74 2D 41 63 63 65 70 74 3A } $s4 = { 53 77 69 74 63 68 69 6E 67 20 50 72 6F 74 6F 63 6F 6C 73 } $s5 = { 32 35 38 45 41 46 41 35 2D 45 39 31 34 2D 34 37 44 41 2D 39 35 43 41 2D 43 35 41 42 30 44 43 38 35 42 31 31 } $s6 = { 2F 64 65 76 2F 70 74 6D 78 64 6F 20 66 6F 72 6B 6F 70 65 6E 20 } $s7 = { 53 6F 63 6B 73 35 20 63 6D 64 20 6E 6F 74 20 73 75 70 70 6F 72 74 } $s8 = { 62 39 32 37 35 38 61 39 61 65 66 31 63 65 66 37 62 37 39 65 32 62 37 32 63 33 64 38 62 61 31 31 33 65 35 34 37 66 38 39 } $s9 = { 58 34 34 38 52 69 6E 67 47 45 54 20 0D 0A 0D 0A 70 69 70 65 50 69 6E 67 50 6F 6E 67 44 61 74 61 } condition: 9 of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | rule CISA_251155_03 : BRICKSTORM backdoor installs_other_components communicates_with_c2 exfiltrates_data { meta: author = "CISA Code & Media Analysis" incident = "251155" date = "2025-09-15" last_modified = "20250916_1511" actor = "n/a" family = "BRICKSTORM" capabilities = "installs-other-components communicates-with-c2 exfiltrates-data" malware_type = "backdoor" tool_type = "unknown" description = "Detects Go-Based BRICKSTORM backdoor samples" sha256_1 = "0cba5c6d16c7b94a450c36bfbaeab79107ac10aa9548b02c42b4b6ba8cef6a51" strings: $s0 = { CE 73 63 44 0F B6 04 30 44 31 C7 48 83 FE 19 72 DA EB 53 48 C7 04 24 } $s1 = { 64 48 8B 0C 25 F8 FF FF FF 48 8D 44 24 E8 48 3B } $s2 = { 8D 44 24 5F 48 89 04 24 48 8D 05 F9 4C 12 00 48 } $s3 = { 8B 4C 24 20 48 89 4C 24 30 48 8D 54 24 58 48 89 } $s4 = { 8B 44 24 20 48 89 44 24 30 48 8B 4C 24 18 48 89 } $s5 = { E8 8E 6A D5 FF 48 8B 44 24 18 48 89 84 24 98 } $s6 = { E8 A4 69 D5 FF 48 8B 44 24 20 48 8B 4C 24 28 48 89 84 24 B0 } $s7 = { 48 8D 44 24 3F 48 89 44 24 08 48 C7 44 24 10 19 } condition: all of them } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | rule CISA_251186_02 : BRICKSTORM backdoor installs_other_components communicates_with_c2 exfiltrates_data { meta: author = "CISA Code & Media Analysis" incident = "251186" date = "2025-11-17" last_modified = "n/a" actor = "n/a" family = "BRICKSTORM" capabilities = "installs-other-components communicates-with-c2 exfiltrates-data" malware_type = "backdoor" tool_type = "unknown" description = "Detects Go-Based BRICKSTORM backdoor samples" sha256_1 = "57bd98dbb5a00e54f07ffacda1fea91451a0c0b532cd7d570e98ce2ff741c21d" strings: $s0 = { 31 F7 40 88 7C 04 4C 48 FF C0 } $s1 = { 44 01 C7 40 88 7C 14 30 48 FF C2 0F 1F 00 } $s2 = { 41 89 F0 31 FE 01 D6 66 90 49 83 F8 11 } $s3 = { 48 8B 44 24 08 48 8B 5C 24 10 48 8B 4C 24 18 } $s4 = { 48 89 C1 48 89 DF 48 8D 05 0F 6F 15 00} $s5 = { 48 8D 3D 9A 6D 15 00 4D 89 C1 49 89 F0 } $s6 = { 81 39 49 43 4D 50 74 0C } $s7 = { E8 FB E6 FF FF E8 76 D0 FF FF E8 91 C0 FF FF 48 8B 05 EA BF 53 } condition: all of them } |
