Les périphériques Backdoor On Edge ont permis à un point de départ pour les acteurs de menace d’utiliser des mouvements latéraux pour accéder aux hôtes VMware vCenter et Esxi, des postes de travail et des serveurs Windows et des boîtes aux lettres Microsoft 365.
Les acteurs de la menace chinoise ont déployé une porte dérobée Linux personnalisée sur des appareils de bord de réseau compromis pour maintenir un accès persistant aux réseaux des sociétés de services juridiques américaines, des fournisseurs de logiciels en tant que service (SAAS), des souscripteurs de processus commerciaux et des sociétés technologiques.
En moyenne, ces bornes de reprises sont restées non détectées pendant 393 jours et ont été utilisées comme point de stadification pour le mouvement latéral vers les hôtes VMware vCenter et Esxi, les postes de travail et les serveurs Microsoft 365.
« La valeur de ces cibles s’étend au-delà des missions d’espionnage typiques, fournissant potentiellement des données pour alimenter le développement de zéro jours et établir des points de pivot pour un accès plus large aux victimes en aval », des chercheurs de Mandiant et du groupe de renseignement des menaces de Google ont trouvé lors de leurs engagements de réponse aux incidents.
Les chercheurs attribuent ces attaques à un groupe qu’il suit en tant que UNC5221, qui a une activité chevauche avec un autre acteur de menace parrainé par l’État basé en Chine connu dans l’industrie sous le nom de Typhoon de soie, bien que Google le croit différent. L’outil principal du groupe est une porte dérobée écrite dans Go pour les appareils Linux et BSD que Mandiant a surnommé Brickstorm.
La plupart des appareils réseau et d’autres périphériques de bord ne disposent pas d’outils de détection et de réponse traditionnels et qui ne sont généralement pas en dehors de la portée des solutions de surveillance des journaux SIEM. Cela rend la détection des implants de briquette très dure sans la chasse à la menace active, c’est pourquoi Mandiant a maintenant publié un script de scanner qui peut être exécuté sur des appareils pour rechercher des indicateurs de compromis associés.
L’accès initial est difficile à déterminer
L’UNC5221 est le seul groupe connu pour avoir exploité les vulnérabilités CVE-2023-46805 et CVE-2024-21887 dans les appareils à Ivanti Secure and Ivanti Secure Appliances comme zéro-jours depuis décembre 2023. Cependant, le Brickstorm Backdoor a été trouvé sur différents types d’appareils pour divers fabricants sans signes clairs de l’exploration de vulnerabilité.
Une partie de la raison pour laquelle cette preuve pourrait manquer est due à la longue durée de résidence de l’attaquant de plus d’un an avant l’identification des intrusions, ce qui dépasse les périodes de rétention de logarithme interne normales sur de tels dispositifs. Et si les journaux ne sont pas collectés et stockés dans une solution centralisée, il n’y a aucun moyen de savoir comment un appareil a été initialement compromis.
« Malgré ces défis, un modèle dans les preuves disponibles indique l’accent mis par l’acteur sur le compromission du périmètre et de l’infrastructure d’accès à distance », ont révélé des chercheurs Mandiant.
Cibler des machines virtuelles
Brickstorm a également été trouvé sur les serveurs VMware vCenter et ESXi où il a été déployé à l’aide d’identification valides qui ont probablement été volées dans des appareils de réseau compromis.
Les attaquants ont également déployé un filtre de servlet Java sur le serveur Web qui exécute l’interface de gestion Web vCenter. Le filtre surnommé BrickSteal par Mandiant leur a permis d’intercepter les demandes HTTP à la page de connexion qui peut contenir des noms d’utilisateur et des mots de passe. Les utilisateurs qui accèdent généralement à VCenter ont un niveau de privilège élevé à l’intérieur de l’entreprise.
De plus, les attaquants ont déployé un shell Web surnommé SlayStyle sur vCenter qui peut recevoir des commandes sur HTTP et les exécuter sur le système. Dans d’autres cas, les attaquants ont activé le service SSH sur vCenter à travers l’interface Web, puis ont utilisé l’accès SSH pour déployer Brickstorm.
Les attaquants ont également utilisé VMware vCenter pour cloner les machines virtuelles existantes pour les serveurs Windows agissant comme contrôleurs de domaine, fournisseurs d’identité SSO et coffrets secrètes. Ils ont ensuite monté les systèmes de fichiers de ces machines virtuelles et extrait les informations d’identification stockées à l’intérieur. Ces informations d’identification ont ensuite été utilisées pour un mouvement latéral supplémentaire vers d’autres systèmes.
Voler des boîtes aux lettres et du code
Un thème commun à travers les intrusions a été les attaquants utilisant les applications d’entreprise Microsoft Entra ID avec des informations d’identification volées pour accéder aux boîtes aux lettres Microsoft 365 des développeurs, des administrateurs système ou des personnes impliquées dans des activités qui présentent un intérêt économique et d’espionnage.
Brickstorm agit également comme un proxy de chaussettes permettant aux attaquants d’accéder directement aux systèmes et aux applications Web sur le réseau d’entreprise. Les attaquants ont utilisé cette fonctionnalité de tunneling pour exfiltrer les fichiers d’intérêt collectés à partir de postes de travail ou de référentiels de code archivés.
Comment les attaquants ont sélectionné leurs cibles
«Les opérations d’intrusion récentes liées à la tempête de brique représentent probablement un éventail d’objectifs allant de l’espionnage géopolitique, des opérations d’accès et du vol de propriété intellectuelle (IP) pour permettre le développement d’exploitation», ont révélé les chercheurs de Google.
Par exemple, le cabinet de services juridiques était probablement ciblé pour recueillir des informations liées à la sécurité nationale et au commerce américain, tandis que les fournisseurs SaaS ont été ciblés pour obtenir les données de leurs clients ou pour avoir potentiellement accès en aval dans les environnements de leurs clients.
Les sociétés technologiques étaient ciblées pour un vol de propriété intellectuelle, mais le code source volé pourrait également être analysé pour découvrir des vulnérabilités dans leurs produits et développer des exploits zéro-jours.
Le rapport de Mandiant contient des conseils détaillés sur la façon dont les organisations devraient effectuer la chasse aux menaces qui se concentre sur les TTP plutôt que sur les CIO afin de détecter les modèles d’attaque. En effet
«La base du succès de toute chasse aux menaces est un inventaire d’actifs qui comprend des appareils non couverts par la pile d’outils de sécurité standard, tels que les appareils Edge et d’autres appareils», ont révélé les chercheurs. «Parce que ces appareils manquent de support pour les outils de sécurité traditionnels, un inventaire est essentiel pour développer des contrôles et des détections de rémunération efficaces.»
