新型 BRICKSTORM 恶意软件针对欧洲敏感目标

admin 2025年4月17日11:19:21评论23 views字数 1418阅读4分43秒阅读模式

导 

自 2022 年以来,利用新发现的 BRICKSTORM 恶意软件变种的复杂网络间谍活动已将欧洲战略产业作为目标。

新型 BRICKSTORM 恶意软件针对欧洲敏感目标

根据比利时安全公司 NVISO 的技术分析,这些以前仅限于 Linux vCenter 服务器的后门感染了 Windows 环境,采用多层加密、DNS-over-HTTPS(DoH)混淆和基于云的命令和控制(C2)基础设施来逃避检测。

该恶意软件与与威胁组织 UNC5221 有关。

BRICKSTORM 功能的技术演进

用 Go 1.13.5 编写的 BRICKSTORM 的 Windows 变体缺乏直接命令执行功能,而是依靠网络隧道使用被盗凭据滥用 RDP 和 SMB 等协议。

这种转变避免了父子进程监控,这是一种常见的交互式威胁检测机制。

该恶意软件的文件管理系统使用基于 JSON 的 HTTP API 来上传、下载和修改文件,而其隧道模块支持 TCP、UDP 和 ICMP 中继以实现横向移动。

较新样本中的一个关键更新是引入硬编码 IP 地址(通过IPAddrs配置参数),允许在 DoH 限制的环境中运行。

旧版本完全依赖通过 Quad9 和 Cloudflare 等提供商进行 DoH 解析,将 DNS 查询嵌入 HTTPS POST 请求中以绕过传统监控。

多层规避架构

BRICKSTORM 采用嵌套的 TLS 框架来掩盖通信:

外层:使用有效证书与无服务器平台(Cloudflare Workers、Heroku)建立合法的 HTTPS 连接。

中间层:WebSocket 升级,然后进行第二次 TLS 握手,使用静态进行身份验证AuthKey。

内层:通过 HashiCorp 的 Yamux 库多路复用的第三个 TLS 会话,支持文件泄露和隧道等并发 C2 活动。

这种架构确保即使检查外层,最内层的 TLS 加密流量仍然是不透明的。

值得注意的是,BRICKSTORM 的运营商在维护期间间歇性地暴露了第二层基础设施,从而暴露了64.176.166.79云前端后面的 Vultr 托管实例。

BRICKSTORM 的 C2 基础设施利用动态 DNS 服务nip.io以及证书透明度漏洞。

例如,该域名ms-azure.azdatastore.workers.dev使用了 Cloudflare 的通配符证书,而历史 Heroku 域名(ms-azure.herokuapp.com)早在 2022 年就已注册。

该恶意软件的操作员通过轮换 IP 和更新TLS 证书(例如用于嵌套 TLS 层的 2024-2025 证书)来维持持续访问。

安全建议:

NVISO 建议采取分层防御措施来对抗 BRICKSTORM 的逃避策略:

阻止 DoH 提供商:在网络边界处限制流向公共 DoH 解析器(例如 Quad9、Cloudflare)的流量。

TLS 检查:部署能够检测嵌套 TLS 会话的解决方案,特别是那些具有无效证书或重复握手的会话。

凭证安全:强制执行多因素身份验证并监控与隧道活动相关的异常 SMB/RDP 登录。

威胁搜寻:搜索从CreatedUACExplorer.exe列出的域和 IP 产生的进程或与列出的域和 IP 的连接。

技术报告:

https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf

新闻链接:

https://gbhackers.com/chinese-hackers-unleash-new-brickstorm-malware/

新型 BRICKSTORM 恶意软件针对欧洲敏感目标

原文始发于微信公众号(军哥网络安全读报):新型 BRICKSTORM 恶意软件针对欧洲敏感目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月17日11:19:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型 BRICKSTORM 恶意软件针对欧洲敏感目标https://cn-sec.com/archives/3968453.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息