Google avverte: nuovo malware Brickstorm rubava dati da aziende USA per oltre un anno

Notizie
Di Pubblicato

Attori sponsorizzati dallo stato cinese ci riprovano, avverte Google

Abstract Futuristic Red Shinny Digital Hud Square Elements Mosaic Grid Map Of China Flat Screen With Horizontal Light
(Immagine:: Shutterstock)
  • • Google avvisa che UNC5221 ha preso di mira aziende legali, tecnologiche e SaaS statunitensi con il malware Brickstorm per oltre un anno• La campagna mirava a spionaggio, furto di proprietà intellettuale e accesso a lungo termine alle infrastrutture• Mandiant raccomanda la ricerca di minacce basata su TTP e autenticazione più forte per contrastare attacchi futuri

Organizzazioni statunitensi dei settori legale, tecnologico, SaaS e di outsourcing dei processi aziendali sono state prese di mira da una nuova variante di malware chiamata Brickstorm per oltre un anno, causando gravi perdite di dati, hanno avvertito gli esperti.

Questo gruppo ha prima preso di mira vulnerabilità zero-day in dispositivi Linux e appliance basate su BSD, poiché spesso vengono trascurati negli inventari degli asset ed esclusi dal logging centralizzato. Come tali, costituiscono un punto d'appoggio ideale per gli aggressori.

Cyber-spionaggio

Una volta all'interno, UNC5221 ha utilizzato Brickstorm per muoversi lateralmente, raccogliere credenziali ed estrarre dati con telemetria minima. In alcuni casi, il malware è rimasto non rilevato per più di un anno, dato che il tempo medio di permanenza è stato di ben 393 giorni. In molti casi, avrebbero fatto perno da dispositivi periferici agli host VMware vCenter ed ESXi, utilizzando credenziali rubate per distribuire Brickstorm ed escalare i privilegi. Per mantenere la persistenza, hanno modificato script di avvio e distribuito webshell che consentivano l'esecuzione di comandi remoti. Hanno clonato macchine virtuali sensibili senza nemmeno accenderle, evitando così di attivare strumenti di sicurezza. Gli obiettivi della campagna sembrano includere spionaggio geopolitico, furto di proprietà intellettuale e operazioni di accesso. Poiché anche le aziende legali sono state prese di mira, i ricercatori sospettavano che UNC5221 fosse interessato alla sicurezza nazionale statunitense e ai temi commerciali, mentre prendere di mira i fornitori SaaS avrebbe potuto essere utilizzato per penetrare negli ambienti dei clienti a valle. Per contrastare Brickstorm, Mandiant raccomanda un approccio di ricerca delle minacce basato su tattiche, tecniche e procedure (TTP) piuttosto che su indicatori atomici, che si sono dimostrati inaffidabili a causa della disciplina operativa dell'attore.

I ricercatori hanno esortato le aziende ad aggiornare gli inventari degli asset, monitorare il traffico degli appliance e applicare l'autenticazione a più fattori.

TOPICS
Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.