Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Grupa cyberwywiadowcza VerdantBamboo została powiązana z kampanią wymierzoną w systemy Linux, urządzenia brzegowe oraz wyspecjalizowane appliance’y, które często pozostają poza pełnym zakresem monitorowania narzędzi EDR. W opisywanym przypadku napastnicy wykorzystali wariant backdoora BRICKSTORM przygotowany dla środowisk BSD, a także dodatkowe implanty PLENET i AGENTPSD.
Incydent pokazuje rosnące znaczenie ataków na firewalle, systemy NAS i platformy synchronizacji danych. To właśnie takie elementy infrastruktury mogą stać się cichym punktem wejścia do dalszej infiltracji organizacji oraz źródłem dostępu do usług chmurowych i zasobów administracyjnych.
W skrócie
- VerdantBamboo to zaawansowany podmiot przypisywany operacjom cyberwywiadowczym powiązanym z Chinami.
- Celem kampanii były systemy Linux, urządzenia sieciowe i infrastruktura brzegowa.
- Atak obejmował kompromitację Egnyte Storage Sync, urządzenia Synology NAS oraz zapory pfSense należącej do dostawcy MSP.
- W operacji wykorzystano malware BRICKSTORM, PLENET i AGENTPSD.
- Napastnicy używali legalnych poświadczeń, ruchu przez zaufane punkty sieciowe oraz technik utrudniających wykrycie.
Kontekst / historia
Aktywność przypisano klastrowi VerdantBamboo, który według badaczy wykazuje podobieństwa do działań znanych również pod nazwami Clay Typhoon, UNC5221 i Warp Panda. Naruszenie zostało ujawnione podczas działań incident response po wykryciu kompromitacji we wrześniu 2025 roku, przy czym ślady wskazują, że przeciwnik mógł utrzymywać dostęp do środowiska przez co najmniej 18 miesięcy.
Początkowy wektor obejmował wykorzystanie lokalnej luki eskalacji uprawnień w Egnyte Storage Sync. Po wdrożeniu backdoora BRICKSTORM operatorzy uzyskali trwały dostęp, a następnie wykorzystali przejęte poświadczenia administracyjne do logowania do zapory i konfiguracji łączności przez SSL VPN. Dalsza ekspansja objęła również urządzenie Synology NAS.
Dochodził do tego jeszcze jeden istotny element: kompromitacja dostawcy usług zarządzanych. Śledztwo wykazało infekcję zapory pfSense należącej do MSP wariantem BRICKSTORM skompilowanym dla BSD, co sugeruje scenariusz ataku przez łańcuch zaufania i rozszerzenie operacji poza jedną organizację.
Analiza techniczna
Technicznie kampania wyróżnia się bardzo świadomym doborem celów oraz dostosowaniem implantów do niestandardowych platform. Wariant BRICKSTORM dla BSD został uruchomiony na pfSense, co wskazuje na przygotowanie narzędzi specjalnie pod systemy oparte na FreeBSD. Tego typu urządzenia rzadko mają pełną telemetrię bezpieczeństwa, a jednocześnie zapewniają uprzywilejowany dostęp do ruchu sieciowego i segmentów administracyjnych.
W przypadku Egnyte Storage Sync atakujący najpierw wykorzystali podatność lokalną do podniesienia uprawnień, a następnie osadzili backdoora. Malware był używany jako pośrednik do dalszej aktywności, w tym do dostępu do środowiska Microsoft 365 z wykorzystaniem legalnych poświadczeń. Dzięki temu ruch mógł wyglądać jak autoryzowana aktywność pochodząca z zaufanej infrastruktury ofiary.
Na urządzeniu NAS wdrożono dwa dodatkowe komponenty. PLENET to wieloplatformowy backdoor oparty na .NET Core i rozwijany z użyciem natywnej kompilacji AOT. Umożliwia interaktywną powłokę, wykonywanie poleceń, operacje na plikach i zmianę serwerów C2. AGENTPSD to z kolei implant oparty na Pythonie, działający jako reverse shell i prawdopodobnie pełniący rolę zapasowego kanału dostępu.
Badacze zwracają uwagę również na dyscyplinę operacyjną napastników. Operatorzy wykorzystywali techniki living-off-the-land, ograniczali liczbę domen i adresów IP przypisanych do konkretnej ofiary oraz personalizowali nazwy implantów i mechanizmy persystencji dla poszczególnych urządzeń. Takie podejście znacząco obniża szanse szybkiego wykrycia przez zespoły SOC.
Konsekwencje / ryzyko
Najpoważniejsze ryzyko wynika z przejęcia urządzeń pośredniczących i zarządzających ruchem. Firewall, appliance synchronizacji danych czy NAS mogą stać się długoterminowym przyczółkiem, z którego napastnik prowadzi podsłuch, ruch boczny, tunelowanie komunikacji oraz przejmowanie poświadczeń.
Szczególnie groźny jest scenariusz, w którym skompromitowane urządzenie staje się zaufanym punktem wyjścia do usług chmurowych. Wówczas tradycyjne mechanizmy ochrony oparte na lokalizacji, reputacji źródła lub prostych politykach dostępu warunkowego mogą okazać się niewystarczające.
Dodatkowym problemem jest infekcja po stronie dostawcy MSP. Jedna skuteczna kompromitacja partnera może przełożyć się na dostęp do wielu klientów, co znacząco rozszerza powierzchnię ataku i przenosi część ryzyka poza własną infrastrukturę organizacji.
Nie można też pomijać skutków długotrwałej obecności przeciwnika w środowisku. Jeśli atak trwał kilkanaście miesięcy, należy brać pod uwagę możliwość eksfiltracji danych, przejęcia kont uprzywilejowanych, zmian konfiguracyjnych oraz pozostawienia mechanizmów umożliwiających powrót po zakończeniu remediacji.
Rekomendacje
Organizacje powinny rozszerzyć monitoring bezpieczeństwa poza klasyczne serwery i stacje robocze. Szczególną uwagę należy poświęcić firewallom, appliance’om sieciowym, systemom NAS, platformom synchronizacji danych oraz innym urządzeniom, które zwykle nie są objęte pełną ochroną EDR.
- zaktualizować podatne appliance’y i systemy synchronizacji danych do wersji zawierających poprawki bezpieczeństwa,
- przeanalizować konfiguracje SSL VPN, kont administracyjnych i reguł zdalnego dostępu,
- centralizować logi z urządzeń brzegowych i korelować je z logami tożsamości oraz usług chmurowych,
- przejrzeć logi SSH, zmiany konfiguracji firewalli oraz aktywność na urządzeniach NAS,
- szukać niestandardowych procesów, usług, zadań persystencji i binariów na platformach BSD oraz Linux,
- weryfikować nietypowy ruch wychodzący z urządzeń infrastrukturalnych do rzadko używanych adresów IP lub domen,
- sprawdzić, czy dostęp do Microsoft 365 nie odbywał się z nietypowych, ale pozornie zaufanych punktów sieciowych,
- wdrożyć MFA odporne na phishing dla kont administracyjnych i połączeń partnerskich,
- regularnie audytować uprawnienia, poświadczenia i kanały wykorzystywane przez dostawców MSP.
W przypadku podejrzenia naruszenia nie należy ograniczać się do usunięcia pojedynczego implantu. Konieczne jest pełne dochodzenie obejmujące urządzenia brzegowe, partnerów zewnętrznych, konta uprzywilejowane, historię połączeń VPN oraz potencjalne mechanizmy powrotu pozostawione przez napastnika.
Podsumowanie
Kampania VerdantBamboo pokazuje, że nowoczesne operacje cyberwywiadowcze coraz częściej koncentrują się na systemach pozostających poza standardową widocznością narzędzi bezpieczeństwa. Wariant BRICKSTORM dla BSD, użycie PLENET i AGENTPSD oraz kompromitacja zarówno ofiary, jak i dostawcy MSP wskazują na wysoki poziom przygotowania technicznego i operacyjnego przeciwnika.
Dla obrońców oznacza to konieczność szerszego spojrzenia na powierzchnię ataku. Skuteczna ochrona wymaga dziś monitorowania infrastruktury brzegowej, rygorystycznej kontroli zaufanych ścieżek administracyjnych oraz dokładniejszego zarządzania ryzykiem po stronie partnerów technologicznych.