导 读
自 2022 年以来,利用新发现的 BRICKSTORM 恶意软件变种的复杂网络间谍活动已将欧洲战略产业作为目标。
根据比利时安全公司 NVISO 的技术分析,这些以前仅限于 Linux vCenter 服务器的后门感染了 Windows 环境,采用多层加密、DNS-over-HTTPS(DoH)混淆和基于云的命令和控制(C2)基础设施来逃避检测。
该恶意软件与与威胁组织 UNC5221 有关。
BRICKSTORM 功能的技术演进
用 Go 1.13.5 编写的 BRICKSTORM 的 Windows 变体缺乏直接命令执行功能,而是依靠网络隧道使用被盗凭据滥用 RDP 和 SMB 等协议。
这种转变避免了父子进程监控,这是一种常见的交互式威胁检测机制。
该恶意软件的文件管理系统使用基于 JSON 的 HTTP API 来上传、下载和修改文件,而其隧道模块支持 TCP、UDP 和 ICMP 中继以实现横向移动。
较新样本中的一个关键更新是引入硬编码 IP 地址(通过IPAddrs配置参数),允许在 DoH 限制的环境中运行。
旧版本完全依赖通过 Quad9 和 Cloudflare 等提供商进行 DoH 解析,将 DNS 查询嵌入 HTTPS POST 请求中以绕过传统监控。
多层规避架构
BRICKSTORM 采用嵌套的 TLS 框架来掩盖通信:
外层:使用有效证书与无服务器平台(Cloudflare Workers、Heroku)建立合法的 HTTPS 连接。
中间层:WebSocket 升级,然后进行第二次 TLS 握手,使用静态进行身份验证AuthKey。
内层:通过 HashiCorp 的 Yamux 库多路复用的第三个 TLS 会话,支持文件泄露和隧道等并发 C2 活动。
这种架构确保即使检查外层,最内层的 TLS 加密流量仍然是不透明的。
值得注意的是,BRICKSTORM 的运营商在维护期间间歇性地暴露了第二层基础设施,从而暴露了64.176.166.79云前端后面的 Vultr 托管实例。
BRICKSTORM 的 C2 基础设施利用动态 DNS 服务nip.io以及证书透明度漏洞。
例如,该域名ms-azure.azdatastore.workers.dev使用了 Cloudflare 的通配符证书,而历史 Heroku 域名(ms-azure.herokuapp.com)早在 2022 年就已注册。
该恶意软件的操作员通过轮换 IP 和更新TLS 证书(例如用于嵌套 TLS 层的 2024-2025 证书)来维持持续访问。
安全建议:
NVISO 建议采取分层防御措施来对抗 BRICKSTORM 的逃避策略:
阻止 DoH 提供商:在网络边界处限制流向公共 DoH 解析器(例如 Quad9、Cloudflare)的流量。
TLS 检查:部署能够检测嵌套 TLS 会话的解决方案,特别是那些具有无效证书或重复握手的会话。
凭证安全:强制执行多因素身份验证并监控与隧道活动相关的异常 SMB/RDP 登录。
威胁搜寻:搜索从CreatedUACExplorer.exe列出的域和 IP 产生的进程或与列出的域和 IP 的连接。
技术报告:
https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf
新闻链接:
https://gbhackers.com/chinese-hackers-unleash-new-brickstorm-malware/
原文始发于微信公众号(军哥网络安全读报):新型 BRICKSTORM 恶意软件针对欧洲敏感目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论