ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ağ savunucularını Çinli bilgisayar korsanlarının Brickstorm kötü amaçlı yazılımıyla VMware vSphere sunucularına arka kapı açması konusunda uyardı.
Ulusal Güvenlik Ajansı (NSA) ve Kanada Siber Güvenlik Merkezi ile ortak bir kötü amaçlı yazılım analiz raporunda CISA, sekiz Brickstorm kötü amaçlı yazılım örneğini analiz ettiğini söylüyor.
Bu örnekler, saldırganların tespitten kaçınmak ve daha fazla kimlik bilgisi hırsızlığı için klonlanmış sanal makine anlık görüntülerini çalmak üzere gizli hileli sanal makineler oluşturmak amacıyla özellikle VMware vSphere sunucularını hedef aldığı kurban kuruluşlara ait ağlarda keşfedildi.
Danışma belgesinde belirtildiği gibi Brickstorm, iletişim kanallarını güvenli hale getirmek için HTTPS, WebSockets ve iç içe TLS, güvenliği ihlal edilmiş ağlarda tünel açma ve yanal hareket için bir SOCKS proxy'si ve ek gizleme için DNS-over-HTTPS (DoH) dahil olmak üzere çok sayıda şifreleme katmanı kullanır. Kalıcılığı korumak için Brickstorm ayrıca, kesintiye uğradığında kötü amaçlı yazılımı otomatik olarak yeniden yükleyen veya yeniden başlatan bir kendi kendini izleme işlevi içerir.
Olaylardan birini araştıran CISA, Çinli bilgisayar korsanlarının Nisan 2024'te bir kuruluşun askerden arındırılmış bölgesindeki (DMZ) bir web sunucusunun güvenliğini ihlal ettiğini, ardından dahili bir VMware vCenter sunucusuna yanal olarak taşındığını ve kötü amaçlı yazılım dağıttığını tespit etti.
Saldırganlar ayrıca kurbanın ağındaki iki etki alanı denetleyicisini hackledi ve Active Directory Federasyon Hizmetleri (ADFS) sunucusunun güvenliğini ihlal ettikten sonra şifreleme anahtarlarını dışarı aktardı. Brickstorm implantı, en az Nisan 2024'ten Eylül 2025'e kadar ihlal edilen sistemlere erişimi sürdürmelerine olanak sağladı.
Sisteme erişim sağladıktan sonra, meşru kimlik bilgilerini ve diğer hassas verileri çalmak için Active Directory veritabanı bilgilerini ele geçirdikleri ve sistem yedeklemeleri yaptıkları da gözlemlendi.
Saldırganların ağlarındaki varlığını tespit etmek ve olası saldırıları engellemek için CISA, savunuculara (özellikle kritik altyapı ve devlet kuruluşlarında çalışanlara) kurum tarafından oluşturulan YARA ve Sigma kurallarını kullanarak Brickstorm arka kapı etkinliğini taramalarını ve yetkisiz DNS-over-HTTPS sağlayıcılarını ve harici trafiği engellemelerini tavsiye ediyor.
Ayrıca şüpheli etkinlikleri izlemek için tüm ağ uç cihazlarının envanterini çıkarmalı ve askerden arındırılmış bölgelerden dahili ağlara giden trafiği kısıtlamak için ağı bölümlere ayırmalıdırlar.
Ortak danışma belgesinde, "CISA, NSA ve Siber Merkez, kuruluşları BRICKSTORM kötü amaçlı yazılım örneklerini tanımlamak için bu Kötü Amaçlı Yazılım Analizi Raporundaki risk göstergelerini (IOC'ler) ve tespit imzalarını kullanmaya çağırıyor." "BRICKSTORM, benzer kötü amaçlı yazılım veya potansiyel olarak ilgili bir faaliyet tespit edilirse, CISA ve NSA, kuruluşları, kanunların ve geçerli politikaların gerektirdiği şekilde faaliyeti raporlamaya çağırır."
Bugün siber güvenlik firması CrowdStrike, 2025 yılı boyunca ABD hukuk, teknoloji ve üretim şirketlerinin ağlarındaki VMware vCenter sunucularını hedef alan Brickstorm kötü amaçlı yazılım saldırılarını Warp Panda olarak takip ettiği Çinli bir bilgisayar korsanlığı grubuyla ilişkilendirdi. CrowdStrike, aynı tehdit grubunun daha önce bilinmeyen Junction ve GuestConduit kötü amaçlı yazılım implantlarını VMware ESXi ortamlarına dağıttığını gözlemledi.
Ortak tavsiye, Google Tehdit İstihbarat Grubu'nun (GTIG) Eylül ayında yayınlanan ve şüpheli Çinli bilgisayar korsanlarının teknoloji ve hukuk sektörlerindeki çok sayıda ABD kuruluşunun ağlarında uzun vadeli kalıcılık kazanmak için Brickstorm kötü amaçlı yazılımını (ilk olarak Google'ın yan kuruluşu Mandiant tarafından Nisan 2024'te belgelendi) nasıl kullandığını açıklayan bir raporun hemen ardından geldi.
Google güvenlik araştırmacıları, bu saldırıları, özel Spawnant ve Zipline kötü amaçlı yazılımlarıyla devlet kurumlarını hedef almak için Ivanti'nin sıfır günlerinden yararlanmasıyla bilinen UNC5221 kötü amaçlı etkinlik kümesiyle ilişkilendirdi.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Android TV için SmartTube YouTube uygulaması, kötü amaçlı güncellemeyi iletmek amacıyla ihlal edildi
Microsoft: SesameOp kötü amaçlı yazılımı, saldırılarda OpenAI Assistant API'sini kötüye kullanıyor
CISA ve NSA, Microsoft Exchange sunucularının güvenliğine ilişkin ipuçlarını paylaşıyor
CISA, federallere Çinli bilgisayar korsanlarının kullandığı VMware Tools kusurunu düzeltme emri verdi
Sahte Microsoft Teams yükleyicileri, Oyster kötü amaçlı yazılımını kötü amaçlı reklam yoluyla yayıyor
Kaynak: Bleeping Computer