Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Długotrwałe utrzymywanie dostępu do środowiska ofiary pozostaje jednym z głównych celów zaawansowanych grup APT prowadzących działania cyberszpiegowskie. W opisywanej kampanii operatorzy powiązani z chińskim klastrem UNC5221, znanym również jako VerdantBamboo, wykorzystali zestaw niestandardowych narzędzi do zachowania trwałej obecności w infrastrukturze przedsiębiorstwa.
Incydent objął wiele obszarów środowiska ofiary, w tym systemy brzegowe, Microsoft 365, urządzenia NAS oraz infrastrukturę dostawcy usług zarządzanych. To pokazuje, że współczesne operacje APT coraz częściej łączą malware wieloplatformowe, techniki living-off-the-land oraz przejęcie zaufanych punktów pośrednich.
W skrócie
- Grupa UNC5221 używała backdoora Brickstorm oraz dwóch dodatkowych rodzin malware: Plenet i AgentPSD.
- Atakujący mieli utrzymywać obecność w sieci ofiary przez co najmniej 18 miesięcy przed wykryciem.
- Po działaniach naprawczych doszło do ponownego naruszenia, co wskazuje na istnienie alternatywnych ścieżek dostępu.
- W toku dochodzenia ustalono również kompromitację dostawcy MSP, co mogło umożliwić pivoting do środowiska klienta.
- Szczególnym celem były systemy i urządzenia, na których wdrożenie klasycznych agentów EDR jest utrudnione lub niemożliwe.
Kontekst / historia
UNC5221 jest łączony z aktywnością cyberszpiegowską ukierunkowaną na urządzenia brzegowe i systemy infrastrukturalne co najmniej od 2023 roku. Grupa była wcześniej opisywana w kontekście wykorzystywania podatności zero-day oraz wdrażania Brickstorm w środowiskach przedsiębiorstw.
W analizowanym incydencie jednym z pierwszych punktów wejścia był system Egnyte Storage Sync, do którego operatorzy uzyskali dostęp, a następnie okresowo wracali przez webowy SSL VPN ofiary. Z tego przyczółka atakujący wykorzystywali funkcje proxy w Brickstorm oraz skradzione poświadczenia, aby uzyskać dostęp do środowiska Microsoft 365.
Po pierwszym wykryciu i remediacji grupa zdołała ponownie wtargnąć do środowiska. Tym razem aktywowała i skonfigurowała dostęp SSL VPN na zaporze ofiary, a następnie wdrożyła dodatkowe narzędzia na urządzeniu Synology NAS. Badanie objęło także infrastrukturę MSP, gdzie odnaleziono wariant Brickstorm dla BSD na zaporze pfSense.
Analiza techniczna
Centralnym elementem kampanii był Brickstorm, opisywany jako zaawansowany implant typu backdoor. Wcześniejsze warianty były implementowane w Go, natomiast nowsze pojawiły się w Rust, co może wskazywać na rozwój narzędzia pod kątem przenośności, niezawodności i utrudniania analizy.
Malware był wykorzystywany na różnych platformach i urządzeniach, w tym na serwerach Linux, urządzeniach brzegowych oraz systemach, które nie wspierają typowego monitoringu endpointowego. Taki dobór celów zwiększa szanse na długotrwałe ukrycie aktywności i ogranicza skuteczność standardowych narzędzi detekcyjnych.
Po odzyskaniu dostępu operatorzy wdrożyli Plenet na urządzeniu Synology NAS. To wieloplatformowy backdoor oparty na .NET, zapewniający interaktywną powłokę, zdalne wykonywanie poleceń, manipulację plikami oraz możliwość zmiany serwera C2.
Konstrukcyjnie Plenet ma być zbliżony do Brickstorm, ponieważ korzysta z komunikacji przez WebSocket i mechanizmu multipleksacji strumieni danych. Taka architektura pozwala równolegle obsługiwać wiele kanałów komunikacyjnych z serwerem sterującym, co ułatwia prowadzenie sesji administracyjnych, transfer danych i tunelowanie ruchu.
Drugim nowym komponentem był AgentPSD, prosty reverse shell napisany w Pythonie. Według badaczy pełnił on rolę zapasowego mechanizmu utrzymania dostępu na wypadek utraty łączności z głównym implantem. Konfiguracja AgentPSD wskazywała przy tym na inny adres infrastruktury niż w przypadku Brickstorm, co sugeruje świadome rozdzielenie kanałów podstawowych i awaryjnych.
Istotnym elementem operacji była również kompromitacja infrastruktury pośredniej. Na zaporze pfSense należącej do MSP odnaleziono wariant Brickstorm dla BSD. To ważny sygnał dla zespołów bezpieczeństwa, ponieważ zagrożenie nie ogranicza się do stacji roboczych czy serwerów aplikacyjnych, lecz obejmuje także firewalle, urządzenia synchronizacji plików i systemy archiwalne.
Konsekwencje / ryzyko
Najpoważniejszym ryzykiem w tego typu kampanii jest długotrwała, niewidoczna obecność w środowisku oraz możliwość ponownego wejścia nawet po przeprowadzeniu działań naprawczych. Jeżeli napastnik utrzymuje dostęp zarówno przez konta użytkowników, jak i przez urządzenia perymetryczne, remediacja ograniczona do resetu haseł lub usunięcia pojedynczego implantu może okazać się niewystarczająca.
Szczególnie niebezpieczna jest kompromitacja dostawcy MSP. Taki scenariusz otwiera drogę do ruchu bocznego między organizacjami, nadużycia relacji zaufania oraz obejścia części mechanizmów bezpieczeństwa opartych na reputacji źródła połączenia.
Dla organizacji korzystających z Microsoft 365 ryzyko obejmuje przejęcie skrzynek pocztowych, dostęp do danych współdzielonych, eskalację uprawnień oraz prowadzenie dalszych działań podszywających się pod legalny ruch. W środowiskach z urządzeniami NAS i firewallami zagrożenie obejmuje także trwałe tunele C2, magazynowanie narzędzi, staging danych oraz obejście segmentacji sieciowej.
Rekomendacje
Organizacje powinny rozszerzyć model monitorowania poza klasyczne endpointy i objąć telemetrią również urządzenia brzegowe, zapory, systemy synchronizacji danych, serwery archiwalne oraz urządzenia NAS. W praktyce oznacza to centralizację logów, inspekcję konfiguracji administracyjnych i regularne przeglądy zmian w usługach zdalnego dostępu, szczególnie SSL VPN.
Należy wdrożyć rygorystyczne kontrole tożsamości dla Microsoft 365 i innych usług SaaS. Obejmuje to wymuszanie MFA odpornego na phishing, przegląd kont uprzywilejowanych, audyt tokenów sesyjnych oraz ograniczanie dostępu administracyjnego według zasady najmniejszych uprawnień.
W relacjach z MSP konieczne jest traktowanie łańcucha usług jako rozszerzonej powierzchni ataku. Zalecane są okresowe audyty dostawców, segmentacja połączeń administracyjnych, odseparowane konta serwisowe, ograniczenia tras sieciowych oraz możliwość szybkiego odcięcia kanałów zdalnego zarządzania.
Z perspektywy reagowania na incydenty remediacja powinna obejmować pełne polowanie na alternatywne ścieżki dostępu. Oznacza to weryfikację kont, certyfikatów, konfiguracji VPN, zadań harmonogramu, niestandardowych usług, skryptów administracyjnych oraz nietypowych procesów nasłuchujących na urządzeniach infrastrukturalnych.
Podsumowanie
Opisana kampania pokazuje dojrzały model działania grupy APT, która łączy wieloplatformowe malware, wykorzystanie skradzionych poświadczeń i kompromitację infrastruktury pośredniej w celu utrzymania długotrwałej obecności. Brickstorm pozostaje głównym narzędziem operacyjnym, natomiast Plenet i AgentPSD wzmacniają elastyczność oraz odporność atakujących na działania obronne.
Najważniejszy wniosek dla zespołów bezpieczeństwa jest jednoznaczny: skuteczna obrona wymaga pełnej widoczności także na urządzeniach brzegowych i u dostawców usług, ponieważ to właśnie tam nowoczesne kampanie cyberszpiegowskie coraz częściej budują swoją trwałość.
Źródła
- Chinese APT deploys new malware to keep access to hacked networks — https://www.bleepingcomputer.com/news/security/chinese-apt-deploys-new-malware-to-keep-access-to-hacked-networks/
- Volexity Research on VerdantBamboo / UNC5221 — https://www.volexity.com/
- Google Cloud: Threat Intelligence reporting on UNC5221 and Brickstorm — https://cloud.google.com/blog/topics/threat-intelligence/
- CISA advisory on threat activity involving Brickstorm — https://www.cisa.gov/
- Microsoft documentation: Conditional Access — https://learn.microsoft.com/