Bajo el radar: Google advierte el nuevo malware de Brickstorm estaba robando datos de las empresas estadounidenses durante más de un año
- Google Warns UNC5221 se dirigió a las empresas legales, tecnológicas y saas con malware de tormenta de ladrillo durante más de un año
- Campaña dirigida al espionaje, robo de propiedad intelectual y acceso a la infraestructura a largo plazo
- Mandiant insta a la caza de amenazas basada en TTP y una autenticación más fuerte para contrarrestar los ataques futuros
Las organizaciones estadounidenses en los sectores de outsourcing legal, tecnología, SaaS y de outsourcing de procesos comerciales fueron atacados por un nuevo malware Variante llamada Brickstorm durante más de un año, lo que lleva a la gran pérdida de datos, advirtieron los expertos.
GoogleEl grupo de inteligencia de amenazas (GTIG) descubrió que los actores de amenaza detrás de la campaña son UNC5221, una sospecha de amenaza de China-Nexus conocida por las operaciones sigilosas y la persistencia a largo plazo.
Este grupo primero apuntó a vulnerabilidades de día cero en Linux dispositivos y electrodomésticos basados en BSD, ya que a menudo se pasan por alto en los inventarios de activos y se excluyen de la tala central. Como tal, crean un punto de apoyo ideal para los atacantes.
Ciberdispone
Una vez dentro, UNC5221 usó Brickstorm para moverse lateralmente, cosechar credenciales y exfiltrar datos con una telemetría mínima. En algunos casos, el malware permaneció sin ser detectado durante más de un año, ya que se decía que el tiempo promedio de permanencia era un poderoso 393 días.
En muchos casos, girarían de dispositivos marginales a hosts VMware vCenter y ESXI, utilizando credenciales robadas para implementar tormentas de ladrillo y aumentar los privilegios.
Para mantener la persistencia, modificaron scripts de inicio y implementaron webshells que permitieron la ejecución de comandos remotos. Clonaron máquinas virtuales sensibles sin siquiera encenderlas y, así, evitando la desencadenación de herramientas de seguridad.
Los objetivos de la campaña parecen abarcar espionaje geopolítico, robo de propiedad intelectual y operaciones de acceso.
Dado que las empresas legales también fueron atacadas, los investigadores sospecharon que UNC5221 estaba interesado en la seguridad nacional de los Estados Unidos, y los temas comerciales, mientras que los proveedores de SaaS podrían haberse utilizado para pivotar en entornos de clientes aguas abajo.
Para contrarrestar la tormenta de ladrillos, Mandiant recomienda un enfoque de caza de amenazas basado en tácticas, técnicas y procedimientos (TTP) en lugar de indicadores atómicos, que han demostrado ser poco confiables debido a la disciplina operativa del actor.
Los investigadores instaron a las empresas a actualizar los inventarios de activos, monitorear el tráfico de electrodomésticos y hacer cumplir autenticación multifactor.
