La CISA et la NSA préviennent que des attaquants parrainés par l’État chinois déploient un logiciel malveillant baptisé BRICKSTORM sur les serveurs VMware pour effectuer des mouvements latéraux à l’intérieur des réseaux des victimes.
Les acteurs de la menace parrainés par l’État chinois détournent les serveurs VMware vCenter et VMware ESXi avec un programme malveillant écrit en Go, leur permettant de maintenir une persistance à long terme dans les réseaux victimes. Selon un rapport conjoint de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), de la National Security Agency (NSA) et du Centre canadien pour la cybersécurité (Cyber Centre), les organisations des services et installations gouvernementaux et du secteur informatique ont été les principales cibles.
Le programme malveillant, connu dans le secteur de la sécurité sous le nom de BRICKSTORM, a été signalé pour la première fois par des chercheurs de Mandiant et du Threat Intelligence Group de Google en septembre. À l’époque, Google avait déclaré que la porte dérobée était restée indétectée pendant 369 jours en moyenne et avait été trouvée dans les réseaux de cabinets de services juridiques américains, de fournisseurs SaaS, d’externalisateurs de processus commerciaux et d’entreprises technologiques.
Pour sa part, CISA a jusqu’à présent analysé huit échantillons BRICKSTORM distincts, dont un collecté sur un serveur VMware vCenter d’une organisation où l’infection n’a pas été détectée pendant plus d’un an et demi, permettant aux attaquants de se déplacer latéralement à travers le réseau.
Du shell Web au contrôle de domaine
Dans l’incident sur lequel CISA a enquêté, les attaquants ont initialement compromis un serveur Web public, bien que l’on ne sache pas par quelle méthode. Cela a été suivi par le déploiement d’un shell Web, essentiellement un script Web qui sert de porte dérobée pour permettre aux attaquants d’exécuter des commandes à distance sur le serveur.
À partir du serveur Web, les attaquants ont pu extraire les informations d’identification d’un compte de service et les utiliser pour accéder à un contrôleur de domaine à partir duquel ils ont copié la base de données Active Directory. Les informations d’identification d’un deuxième compte de service ont été utilisées pour accéder à un autre contrôleur de domaine sur le réseau interne et copier la base de données AD, qui comprenait les informations d’identification utilisées par un fournisseur de services gérés (MSP).
Grâce aux informations d’identification MSP, les attaquants ont pu accéder à un serveur VMware vCenter et déployer le malware BRICKSTORM dans le /etc/sysconfig/ annuaire.
Conçu pour fonctionner dans des environnements virtualisés
Les analystes du CISA, de la NSA et du Canadian Cyber Centre notent que certains des échantillons de BRICKSTORM sont compatibles avec la virtualisation et créent une interface de socket virtuel (VSOCK) qui permet la communication entre VM et l’exfiltration de données.
Le malware vérifie également l’environnement lors de son exécution pour s’assurer qu’il s’exécute en tant que processus enfant et à partir d’un chemin spécifique. Cela fait partie d’un ensemble de capacités d’auto-surveillance qui assurent sa persistance en se réinstallant et en s’exécutant s’il détecte que quelque chose ne fonctionne pas correctement.
Le malware imite la fonctionnalité du serveur Web pour que sa communication de commande et de contrôle (C2) se fonde dans le trafic légitime. Il fournit également un proxy SOCKS5 permettant aux attaquants de tunneler le trafic lors des opérations de mouvement latéral.
En termes de fonctionnalités, BRICKSTORM permet aux acteurs malveillants de parcourir le système de fichiers et d’exécuter des commandes shell, leur offrant ainsi un contrôle total sur le système compromis.
« Une fois la connexion sécurisée au domaine C2 établie, l’exemple 1 utilise un package Go personnalisé wssoft2 pour gérer les connexions réseau entrantes et traiter les commandes qu’il reçoit », ont déclaré les analystes de CISA. « Les commandes sont dirigées vers l’un des trois gestionnaires en fonction de la fonction dont ils ont besoin : le gestionnaire SOCKS, le gestionnaire de services Web et le gestionnaire de commandes. »
Atténuations
L’avis conjoint comprend des indicateurs de compromission pour les échantillons analysés ainsi que des règles de détection YARA et Sigma. Les agences formulent également les recommandations suivantes :
- Mettez à niveau les serveurs VMware vSphere vers la dernière version.
- Renforcez vos environnements VMware vSphere en appliquant les conseils de VMware.
- Faites l’inventaire de tous les appareils périphériques du réseau et surveillez toute connectivité réseau suspecte provenant de ces appareils.
- Assurez-vous qu’une segmentation appropriée du réseau limite le trafic réseau de la DMZ vers le réseau interne.
- Désactivez RDP et SMB de la DMZ vers le réseau interne.
- Appliquez le principe du moindre privilège et limitez les comptes de service aux seules autorisations nécessaires.
- Augmentez la surveillance des comptes de service, qui sont hautement privilégiés et ont un comportement prévisible (par exemple, des analyses qui s’exécutent de manière fiable à une certaine heure de la journée).
- Bloquez les fournisseurs DNS sur HTTPS (DoH) non autorisés et le trafic réseau DoH externe pour réduire les communications non surveillées.
