Het Brusselse NVISO heeft een Windows-variant van de BRICKSTORM-malware gevonden. Deze backdoor wordt gelinkt aan de Chinese groepering UNC5221.
Via forensisch onderzoek ontdekte NVISO dat de backdoor sinds minstens 2022 wordt gebruikt in een actieve spionagecampagne gericht op Europese industrieën. De malware is ontworpen om langdurig onopgemerkt te blijven en industriële geheimen te stelen.
In tegenstelling tot de meer gebruikelijke afpersingsaanvallen, kenmerken Chinese inbraken zich door een hoge mate van discretie, waardoor ze vaak lang onontdekt blijven. BRICKSTORM is precies zo’n stille backdoor die nu door NVISO is geanalyseerd.
Geavanceerde technieken
NVISO’s analyse toont aan dat BRICKSTORM zowel in Windows- als Linux-omgevingen wordt gebruikt. Dit was voorheen niet bekend. Eerdere analyses van Mandiant alleen de Linux-variant hadden gesignaleerd. De backdoor maakt gebruik van meerdere mechanismen om detectie te vermijden, waaronder het misbruiken van legitieme clouddiensten en het herhaaldelijk versleutelen van netwerkcommunicatie.
“De twee nieuw geïdentificeerde BRICKSTORM-executables bieden aanvallers bestandsbeheer en netwerktunnelingmogelijkheden. Via deze backdoors kunnen aanvallers door het file system bladeren, willekeurige bestanden en mappen aanmaken/verwijderen en netwerkverbindingen tunnelen voor laterale verplaatsing”, aldus NVISO. “De BRICKSTORM-familie werkt zijn Command & Control-servers af via DoH (DNS over HTTPS), waardoor de meeste oplossingen voor netwerkbewaking worden belemmerd.”
De twee Windows-samples die het Belgische bedrijf analyseerde zijn geschreven in Go 1.13.5 (uitgebracht in 2019) en exporteerden geen functies. De aanvallers vertrouwden op mechanismen als het plannen van taken voor uitvoering.
Tip: Website Belgische overheidsinstelling lekte twaalf jaar lang adressen