Hackers chineses lançam novo malware BRICKSTORM para atingir sistemas Windows e Linux.
Uma sofisticada campanha de espionagem cibernética que aproveita as variantes do malware BRICKSTORM recentemente identificadas tem como alvo setores estratégicos europeus desde pelo menos 2022.
De acordo com a análise técnica da NVISO, esses backdoors, antes confinados aos servidores Linux vCenter, agora infectam ambientes Windows, empregando criptografia multicamadas, ofuscação de DNS sobre HTTPS (DoH) e infraestrutura de Comando e Controle (C2) baseada em nuvem para evitar a detecção.
O malware, vinculado ao agente chinês UNC5221, alinha-se aos objetivos estratégicos da República Popular da China (RPC) de adquirir propriedade intelectual e segredos tecnológicos para o avanço econômico.
Evolução Técnica das Capacidades do BRICKSTORM
As variantes do BRICKSTORM para Windows, escritas em Go 1.13.5, não possuem funcionalidade de execução direta de comandos, mas dependem do tunelamento de rede para abusar de protocolos como RDP e SMB usando credenciais roubadas .
Essa mudança evita o monitoramento do processo pai-filho, um mecanismo comum de detecção de ameaças interativas.
O sistema de gerenciamento de arquivos do malware usa uma API HTTP baseada em JSON para carregar, baixar e modificar arquivos, enquanto seu módulo de tunelamento oferece suporte a retransmissão TCP, UDP e ICMP para movimento lateral.
Uma atualização crítica em amostras mais recentes é a introdução de endereços IP codificados (por meio do IPAddrsparâmetro de configuração), permitindo a operação em ambientes com restrição de DoH.
Variantes mais antigas dependiam exclusivamente da resolução de DoH por meio de provedores como Quad9 e Cloudflare, incorporando consultas DNS em solicitações HTTPS POST para ignorar o monitoramento tradicional.
Configuração de DNS do BRICKSTORM.
Arquitetura de Evasão Multicamadas
O BRICKSTORM emprega uma estrutura TLS aninhada para ocultar as comunicações:
- Camada externa : conexões HTTPS legítimas com plataformas sem servidor (Cloudflare Workers, Heroku) com certificados válidos.
- Camada intermediária : uma atualização do WebSocket seguida por um segundo handshake TLS, autenticado usando um
AuthKey. - Camada interna : uma terceira sessão TLS multiplexada via biblioteca Yamux da HashiCorp, permitindo atividades C2 simultâneas, como exfiltração e tunelamento de arquivos.
Essa arquitetura garante que, mesmo que as camadas externas sejam inspecionadas, o tráfego criptografado por TLS mais interno permaneça opaco.
Notavelmente, os operadores do BRICKSTORM expuseram intermitentemente a infraestrutura de segundo nível durante a manutenção, revelando instâncias hospedadas no Vultr (por exemplo, 64.176.166.79) por trás dos frontends da nuvem.
A infraestrutura C2 da BRICKSTORM aproveita serviços de DNS dinâmicos nip.ioe brechas de transparência de certificados.
Por exemplo, o domínio ms-azure.azdatastore.workers.devutilizou certificados curinga da Cloudflare, enquanto domínios históricos do Heroku ( ms-azure.herokuapp.com) foram registrados já em 2022.
Os operadores do malware mantiveram acesso persistente rotacionando IPs e atualizando certificados TLS , como o certificado 2024–2025 usado para camadas TLS aninhadas.
uso de TLS aninhado.
As organizações devem monitorar os seguintes artefatos associados às intrusões do BRICKSTORM:
A NVISO recomenda defesas em camadas para combater as táticas de evasão do BRICKSTORM:
- Bloquear provedores de DoH : restrinja o tráfego para resolvedores de DoH públicos (por exemplo, Quad9, Cloudflare) nos limites da rede.
- Inspeção TLS : implante soluções capazes de detectar sessões TLS aninhadas, especialmente aquelas com certificados inválidos ou handshakes repetidos.
- Higiene de credenciais : aplique autenticação multifator e monitore logins SMB/RDP anômalos vinculados à atividade de tunelamento.
- Caça a ameaças : pesquise processos originados
CreatedUACExplorer.exeou conectados aos domínios e IPs listados.
O foco duradouro da RPC na espionagem econômica exige monitoramento contínuo de dispositivos de rede e tráfego de nuvem sem servidor, que o BRICKSTORM explora para intrusão de longo prazo.
Defesas colaborativas e compartilhamento de inteligência em tempo real continuam sendo essenciais para mitigar essas ameaças avançadas.
| Tipo de indicador | Valor |
|---|---|
| Nome do arquivo | CreatedUACExplorer.exe |
| Hash SHA256 | b42159d68ba58d7857c091b5acc59e30e50a854b15f7ce04b61ff6c11cdf0156 |
| Domínio Associado | ms-azure.azdatastore.workers.dev |
| Nome do arquivo | CreateUACExplorer.exe |
| Hash SHA256 | 42692bd13333623e9085d0c1326574a3391efcbf18158bb04972103c9ee4a3b8 |
| Domínio Associado | ms-azure.herokuapp.com |
Fonte: GBHackers
Veja também:
- Jira inativo: usuários do Atlassian enfretam degradação
- Falha da cibersegurança na saúde, é risco ao paciente é dobrado
- Brasil na mira de cibercriminosos
- Envio de dados confidenciais para IA cresce 30 vezes em um ano
- Relatório ESG aponta as melhores defesas contra o ransomware
- hackers focam em sites de jogos de azar para espalhar golpes
- Threat Intelligence contra novos ataques de ransomware
- One Stop Shop: o futuro da segurança cibernética integrada
- Hackers usam protetor de tela em ataques
- IA supera as equipes Red Team
- Windows 11 24H2 bloqueia atualização em PCs com BSODs
Be the first to comment