安全研究人员近日披露的一起长期网络间谍行动再次提醒企业与安全团队:入侵不止是一次事件,而可能是多年级别的持续渗透。来自 Google 威胁情报组与 Mandiant 的联合分析显示,一种被称为 BrickStorm 的隐蔽后门被中国关联的 APT 组织多次用于攻击多个行业,攻击者平均在受害网络中潜伏近四百天以窃取高价值信息并发展后续攻击手段。 对事件的基本事实概述有助于理解威胁的严重性。Mandiant 自 2025 年三月起监测到这波活动,并将其与一个被圈定为 UNC5221 的攻击集团相关联。受害单位涵盖法律服务、SaaS 提供商、技术公司和业务外包等高价值目标。研究者注意到,BrickStorm 并不总是出现在传统终端上,而是广泛部署于各类网络设备与安全检测能力薄弱的设备中,包括基于 Linux 与 BSD 的网络设备,有报告还提到过 Windows 版本的存在但尚未被 Mandiant 見到。
BrickStorm 的一个显著特征是以网络设备为跳板,向 VMware vCenter 与 ESXi 环境横向移动。攻击者常常先将后门部署在不支持标准 EDR 的网络设备上,利用设备上的恶意模块或窃取的凭据渗透并获取对虚拟化管理层的访问。通过在 vCenter 上取得有效凭据,攻击者可以对下游客户和托管环境进行深度探索与长期监控。 长期潜伏带来两大直接后果。其一是窃取大量专有源代码与知识产权,使攻击者能够逆向理解企业关键应用与基础架构的内部实现。其二是基于窃得的代码寻找并开发针对企业级产品的零日漏洞,随后将这些漏洞用于对依赖相同技术的"下游"企业发动精准攻击。
Mandiant 的首席技术官查尔斯·卡马卡尔(Charles Carmakal)指出,攻击者不仅局限于传统情报收集,而是积极分析被盗源码以发现可被利用的缺陷,从而对更广泛目标发动连锁攻击。 入侵者能在受害网络内停留近 400 天的事实,凸显了现代攻击在检测与响应环节的难点。长期潜伏常常意味着攻击者已经绕过了常见的基线检测,利用设备固有的管理功能、合法凭据与混合的横向移动策略来掩盖其行为。攻击发生的初始入口在许多案例中难以追溯,其中至少一例被怀疑利用了 Ivanti 产品的零日漏洞实现初始访问,这再次强调及时修补与供应链安全的重要性。 对企业与安全团队而言,这类事件带来的启示是多方面的。首先,传统以主机终端为中心的防护在面对部署在网络设备或专用硬件上的后门时存在盲区。
许多网络设备无法安装标准 EDR,因此必须依赖网络层面的可见性与检测能力来识别异常行为。对 vCenter、ESXi 与其他虚拟化管理平台的集中监控尤为关键,任何异常的凭据使用、API 调用或批量虚拟机操作都应被视为高风险信号。 其次,SaaS 提供商与托管服务商的安全水平直接影响其客户的风险暴露。攻击者通过中间的 SaaS 供应商横向进入下游客户环境的手法,放大了单点失败的后果。企业在选择云与托管服务合作伙伴时,应把供应商的入侵侦测、日志保留策略、代码访问控制与补丁管理做为重要的评估指标。同时,供应商应对其设备与基础设施采取更严格的防护措施,确保关键管理通道与凭据的访问受限与多重保护。
第三,源代码与知识产权的保护需要被置于更高的优先级。被窃的源码不仅仅是商业机密,对用于企业基础设施与平台的源代码进行分析会为攻击者提供开发零日漏洞的捷径。从策略上看,企业应限制源码的访问范围、采用最小权限原则和多因素认证,并对源码仓库进行细致的审计与异常访问检测。对外部承包商与第三方开发者的访问同样需要采用更严格的隔离与监控策略。 在技术检测层面,网络流量分析、行为基线建立与集中日志分析成为补漏洞的关键。由于 BrickStorm 多次利用设备身份与凭据进行横向移动,监测异常的凭据使用模式、非工作时间的管理操作以及跨系统的异常数据传输可以帮助提前发现隐蔽活动。
对 vCenter 和 ESXi 的操作日志、API 调用与管理员登录事件的长时保留与分析,有助于识别潜在的滥用行为。网络入侵检测系统(NIDS)与基于网络的威胁检测(NDR)可以在无法部署 EDR 的设备周围提供必要的可见性。 补丁与资产管理仍然是防御长潜伏攻击的基础环节。Ivanti 等供应商的漏洞若被当作入侵路径,说明对已知漏洞的快速处置与补丁应用存在不足。组织需要建立快速响应补丁的流程,并对关键系统进行优先级分层管理。对无法立即打补丁的设备,应通过配置临时缓解措施、网络隔离与访问限制来降低风险。
凭据防护是阻断横向移动的另一道重要防线。对于能够访问 vCenter 或其他管理面板的账号,应尽可能采用基于硬件的多因素认证、限制登录来源与使用权限分割。退役或不再使用的管理凭据必须被及时收回与作废。对于长期存在大量管理员账号的环境,实施定期的权限审查、自动化的密钥轮换与秘密管理能够显著减少凭据被滥用的窗口期。 针对潜伏型威胁,还需要强化威胁情报与主动威胁狩猎能力。安全团队应将外部情报与组织内部的检测信号结合,制定基于威胁模型的狩猎剧本,例如针对 vCenter 横向移动的检测规则、对特定命名模式的文件访问异常进行追踪、或对大型数据外传行为进行预警。
与第三方安全厂商和研究机构的沟通能帮助组织及时掌握像 BrickStorm 这样的新兴样本与 IOCs,从而缩短响应时间。 事件响应准备是降低长期潜伏影响的关键。组织应制定包含资产恢复、证据保存与客户通知的完整演练流程。面对供应链级别的渗透,受影响的服务商需与其下游客户协同响应,快速评估潜在的影响范围并采取相应的补救措施。政府与行业监管机构也应促使关键基础设施提供商提高透明度与报告频率,以便集体防御和风险共享。 厂商层面,需要重新审视网络设备与虚拟化管理平台的安全设计。
一方面,设备厂商应尽量提供接口以便安装安全代理或导出详细的审计日志,另一方面,用户也应推动厂商提供定期的安全更新与更严格的默认配置。虚拟化平台厂商要强化管理层的访问控制、细化审计记录并提供更易于部署的安全检测工具,以帮助客户在面对衡平设备受控的场景下仍能保持可见性。 从战略角度看,BrickStorm 事件再次强调了供应链安全、源码保护与跨组织协作的重要性。国家级或准国家级攻击团队往往具备长期资源与明确目标,他们可以通过长期潜伏与复杂的后续利用,将一次看似孤立的泄露转化为对多个行业的系统性威胁。因此,企业与公共部门需要在信息共享、补丁责任与供应商合规方面建立更严密的合作机制。 总的来说,面对像 BrickStorm 这样的长期渗透事件,单点的安全措施难以奏效。
综合的防御策略应当涵盖提高对网络设备的可见性、强化虚拟化管理平台的审计与访问控制、保护源码与敏感数据、以及建立快速响应与跨组织的协同机制。安全团队需要接受长期潜伏可能性作为常态,并通过技术、流程与合作来缩短潜伏时间、降低损失并阻断后续漏洞武器化的链条。 对企业管理层而言,认知风险并投入必要资源是第一步。将安全预算向可检测性与响应能力倾斜,确保关键资产具备日志采集、长期保存与分析能力,同时督促供应链合作伙伴改善安全实践,将显著提升整体防御韧性。对安全工程师而言,增强对 vCenter、ESXi 与网络设备的监测、实施基于异常行为的检测规则并开展定期的威胁狩猎,将是面对类似 APT 持续渗透时最有效的应对路径。 BrickStorm 及其相关活动提醒我们,未来的攻击将更偏好长期潜伏、精确窃取与零日武器化的组合策略。
唯有通过技术改进、制度约束与产业协作,才能在潜伏时代保护关键资产与商业机密,阻止单一入侵演变为跨行业的传染性攻击链。 。
