中國駭客使用 Brickstorm 後門進行攻擊
Google 的安全研究人員於 9 月報告指出,中國駭客使用名為 Brickstorm 的後門軟體,秘密進入美國法律、SaaS(軟體即服務)、商業流程外包及科技等行業的網路與系統。
長期滲透與多重威脅
來自 Google 威脅情報小組和 Mandiant 的研究人員指出,這些惡意行為者有時在組織內部駐留超過一年,進行從間諜活動到知識產權盜竊,再到開發新零日漏洞等操作。
本週,美國和加拿大的安全機構基於 Google 及其他供應商的研究,詳細説明了這款高級的 Brickstorm 惡意軟體,並指出這些攻擊者由中華人民共和國(PRC)資助,以確保在受影響系統中的持續性。
主要目標與技術手段
主要目標為政府機構及 IT 服務公司,駭客利用後門入侵 VMware vCenter 伺服器及 VMware ESXi 實例,以及 Microsoft Windows 環境。一旦系統被攻破,這些網路行為者就能利用 vCenter 管理控制台竊取虛擬機(VM)的快照進行憑證提取,並創建隱藏的惡意 VM。
持續性與隱蔽性
據美國國家安全局、CISA 和加拿大網路安全中心的報告,分析的樣本功能各異,但都使網路行為者能夠維持隱蔽的訪問,並具備啟動、持續及安全指揮控制(C2)的能力。儘管分析的樣本針對的是 VMware vSphere 環境,也有關於 Windows 版本的報告。
中國威脅組織的持續性
CISA 及其他美國機構多年來一直揭露由多個 PRC 支持的威脅組織運行的秘密網路行動,這些行動旨在建立持續性、訪問和竊取數據,並可能中斷政府和關鍵基礎設施系統的運作。
Brickstorm 的技術特性
使用 Brickstorm 的國家級威脅組織在過去幾年中屢見不鮮。這款後門軟體用 Golang 程式語言編寫,並通過所謂的“自我監控”功能來確保持續性,該功能會在惡意軟體被干擾時自動重新安裝或重啟。其使用多種加密技術,包括 HTTPS、WebSockets 和嵌套的傳輸層安全(TLS),以隱藏與 C2 伺服器的通信。此外,還通過 DNS-over-HTTPS 和模仿 Web 伺服器動作來將通信與合法流量混合。
具體案例分析
美加機構援引 CISA 的一個案例,解釋了這些組織的運作方式。這些行為者於 4 月 11 日通過網頁外殼訪問受害者的網頁伺服器,儘管尚不清楚其具體方法……
相關服務: 若您的企業需要高效能的網路安全解決方案,北斗數位提供的抗攻擊主機與 DDoS 防禦服務能有效保護您的系統,詳情請參考 北斗數位網站。