新型 BRICKSTORM 恶意软件针对欧洲敏感目标

自 2022 年以来，利用新发现的 BRICKSTORM 恶意软件变种的复杂网络间谍活动已将欧洲战略产业作为目标。

根据比利时安全公司 NVISO 的技术分析，这些以前仅限于 Linux vCenter 服务器的后门感染了 Windows 环境，采用多层加密、DNS-over-HTTPS（DoH）混淆和基于云的命令和控制（C2）基础设施来逃避检测。

该恶意软件与与威胁组织 UNC5221 有关。

BRICKSTORM 功能的技术演进

用 Go 1.13.5 编写的 BRICKSTORM 的 Windows 变体缺乏直接命令执行功能，而是依靠网络隧道使用被盗凭据滥用 RDP 和 SMB 等协议。

这种转变避免了父子进程监控，这是一种常见的交互式威胁检测机制。

该恶意软件的文件管理系统使用基于 JSON 的 HTTP API 来上传、下载和修改文件，而其隧道模块支持 TCP、UDP 和 ICMP 中继以实现横向移动。

较新样本中的一个关键更新是引入硬编码 IP 地址（通过IPAddrs配置参数），允许在 DoH 限制的环境中运行。

旧版本完全依赖通过 Quad9 和 Cloudflare 等提供商进行 DoH 解析，将 DNS 查询嵌入 HTTPS POST 请求中以绕过传统监控。

多层规避架构

BRICKSTORM 采用嵌套的 TLS 框架来掩盖通信：

外层：使用有效证书与无服务器平台（Cloudflare Workers、Heroku）建立合法的 HTTPS 连接。

中间层：WebSocket 升级，然后进行第二次 TLS 握手，使用静态进行身份验证AuthKey。

内层：通过 HashiCorp 的 Yamux 库多路复用的第三个 TLS 会话，支持文件泄露和隧道等并发 C2 活动。

这种架构确保即使检查外层，最内层的 TLS 加密流量仍然是不透明的。

值得注意的是，BRICKSTORM 的运营商在维护期间间歇性地暴露了第二层基础设施，从而暴露了64.176.166.79云前端后面的 Vultr 托管实例。

BRICKSTORM 的 C2 基础设施利用动态 DNS 服务nip.io以及证书透明度漏洞。

例如，该域名ms-azure.azdatastore.workers.dev使用了 Cloudflare 的通配符证书，而历史 Heroku 域名（ms-azure.herokuapp.com）早在 2022 年就已注册。

该恶意软件的操作员通过轮换 IP 和更新TLS 证书（例如用于嵌套 TLS 层的 2024-2025 证书）来维持持续访问。

安全建议：

NVISO 建议采取分层防御措施来对抗 BRICKSTORM 的逃避策略：

阻止 DoH 提供商：在网络边界处限制流向公共 DoH 解析器（例如 Quad9、Cloudflare）的流量。

TLS 检查：部署能够检测嵌套 TLS 会话的解决方案，特别是那些具有无效证书或重复握手的会话。

凭证安全：强制执行多因素身份验证并监控与隧道活动相关的异常 SMB/RDP 登录。

威胁搜寻：搜索从CreatedUACExplorer.exe列出的域和 IP 产生的进程或与列出的域和 IP 的连接。

技术报告：

https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf

新闻链接：

https://gbhackers.com/chinese-hackers-unleash-new-brickstorm-malware/