UNC5221 usa backdoor BRICKSTORM para infiltrar setores jurídico e tecnológico dos EUA

Empresas dos setores de serviços jurídicos, provedores de SaaS, BPOs e tecnologia nos EUA foram alvo do grupo de ciberespionagem UNC5221, suspeito de ter ligações com a China. O grupo utiliza o backdoor BRICKSTORM para manter acesso persistente às organizações vitimadas por mais de um ano.

Características da campanha

• Objetivo: Acessar ambientes de clientes de provedores SaaS comprometidos e coletar informações sobre segurança nacional, comércio internacional e propriedade intelectual
• Tempo médio de permanência: 393 dias sem detecção
• Backdoor: BRICKSTORM é baseado em Go e funciona como servidor web com capacidades de manipulação de arquivos, execução de comandos e relay SOCKS
• Métodos sofisticados: Uso de filtro malicioso BRICKSTEAL para capturar credenciais do vCenter sem deixar rastros em disco

Táticas de evasão

• Exploração de vulnerabilidades zero-day em dispositivos Ivanti Connect Secure
• Modificação de arquivos de inicialização (init.d, rc.local, systemd) para persistência
• Técnicas de movimento lateral que geram telemetria mínima
• Desenvolvimento contínuo do malware, incluindo temporizadores de atraso

Recomendações

A Google desenvolveu um scanner em shell script para detectar atividades do BRICKSTORM em sistemas Linux e BSD. Organizações são incentivadas a buscar proativamente por backdoors em sistemas sem cobertura de EDR.

A campanha representa uma ameaça significativa devido à sua sofisticação, evasão de defesas de segurança empresarial e foco em alvos de alto valor.