近年来,网络安全威胁日益严峻,尤其是针对关键行业的高级持续性威胁(APT)日益猖獗。UNC5221作为一个疑似中国背景的网络间谍组织,利用名为BRICKSTORM的后门工具,成功渗透并持续潜伏于美国的法律服务、软件即服务(SaaS)提供商、业务流程外包(BPO)企业以及科技企业中,时间之长已超过一年。多家权威机构如Mandiant和谷歌威胁情报团队(GTIG)对这一活动予以高度关注,并发布了详细报告,揭示出这一网络逃逸行动的复杂性和高危性。BRICKSTORM的出现首次由谷歌在对Ivanti Connect Secure零日漏洞(CVE-2023-46805和CVE-2024-21887)利用案例中披露。该后门采用Go语言打造,具备设置自身为网页服务器、操作文件系统、上传下载文件、执行shell命令及充当SOCKS代理等多项功能。它通过WebSockets与命令控制服务器(C2)通信,确保了隐蔽和高效的指令传输。
BRICKSTORM的设计目标不仅限于侵入受害者系统,更致力于长期内保持隐蔽持续访问,这一点从平均393天的潜伏时间中可见一斑。该组织使用多样且隐蔽的横向移动手段,几乎不生成任何安全监测日志,使检测极为困难。报告指出,除了已知通过Ivanti Connect Secure设备的零日漏洞实现初始访问外,黑客还通过针对Linux和BSD平台的多个厂商设备展开攻击,且采用了内存修改配置、无重启的方式植入恶意Java Servlet筛选器BRICKSTEAL,巧妙捕获关键系统如VMware vCenter的凭证。凭借这些凭证,攻击者得以提升权限,克隆关键虚拟机环境,涵盖域控制器、单点登录身份提供者和机密保险库,进一步加深对目标网络的控制。攻击者还利用合法凭据进行横向渗透,通过篡改init.d、rc.local或systemd服务确保如BRICKSTORM这类后门在设备重启后依然自动启动。SLAYSTYLE(又称BEEFLUSH)JSP Webshell的使用,赋予黑客远程通过HTTP请求执行任意操作系统命令的能力,加剧了受害方对攻击危害的担忧。
此次攻击的主要目的在于窃取目标组织内关键个人的电子邮件,包括开发者、系统管理员及涉及国家安全与国际贸易事务人员,从而获取对中国经济和情报利益极具价值的信息。BRICKSTORM所提供的SOCKS代理功能帮助攻击者直接连接相关应用,确保信息窃取工作无缝进行。谷歌威胁情报团队针对潜在受害者开发了一个基于shell脚本的扫描工具,帮助检测Linux和BSD设备上的BRICKSTORM痕迹,尽管如此,鉴于攻击手法的隐蔽性,检测难度仍居高不下。值得注意的是,尽管美国政府将UNC5221与APT27(Emissary Panda)等中国相关威胁群体关联,谷歌方面并未完全确认这些组织间的具体联系,更多将其视为两个独立的实体,显示出高明的情报分析态度。此次事件也凸显出网络安全防御面临的新挑战。传统端点检测与响应(EDR)工具对基于网络设备和非传统操作系统的后门监控力不足,攻击者利用这一弱点,在设备级别实现深层隐蔽的长期潜伏。
针对这一情况,安全团队需强化对边缘设备的监控,提升对Linux及BSD等系统的安全防护能力。同时,应重点关注网络环境内凭据管理,实现严格的权限分离与监控,有效防范横向渗透。作为前沿建议,企业需加大对零信任架构的推进力度,减少攻击面暴露。BRICKSTORM持续演进的迹象表明,该后门具备定时启动等复杂功能,证明其背后团队具备卓越的编程与攻击策略能力。攻击者甚至能够在企业进行应急响应后,迅速调整攻击策略,继续维持并加固其控制权。法律与科技行业成为此次攻击的核心目标,反映出其数据价值的高度认可及敏感性。
在全球政治经济复杂多变的背景下,伴随国家间网络攻防较量的加剧,类似BRICKSTORM的高级威胁将不断出现,组织无法掉以轻心。针对UNC5221及其使用的BRICKSTORM后门,建议企业建立由威胁情报驱动的安全运维体系,结合主动的威胁猎杀和攻击面暴露管理,提升整体应对能力。加强关键系统的安全审计和日志监控,尤其是针对像VMware vCenter这类重要资产,应及时修补已知漏洞,配置多层次访问控制,并限制使用高权限凭证。此外,定期安全培训和演练对于提升员工识别钓鱼与社会工程攻击能力至关重要。总之,UNC5221通过BRICKSTORM后门对美国法律和科技行业的持续渗透,展示出现代网络攻击以隐蔽性、持续性和多样性为特点的新趋势。只有跨部门协作,融合先进技术与智能分析,强化终端和网络边界的防御,才能有效抵御此类复杂威胁,保护关键行业免受重大损失。
未来,随着威胁形态不断变化,安全从业者应保持高度警惕,持续追踪BRICKSTORM等后门工具的演进,确保防御策略及时更新,应对持续升级的网络挑战。 。
