Mã độc BRICKSTORM, một backdoor dai dẳng, khó phát hiện và đa nền tảng, đã nổi lên như một mối đe dọa đáng kể đối với các tổ chức công nghệ và pháp lý tại Hoa Kỳ. Google Threat Intelligence Group (GTIG) và Mandiant Consulting đã theo dõi các chiến dịch của BRICKSTORM, ghi nhận thời gian truy cập không bị phát hiện trung bình 393 ngày. Các mục tiêu chính bao gồm các công ty dịch vụ pháp lý, nhà cung cấp SaaS, BPO và các công ty công nghệ, với mục đích thu thập dữ liệu để phát triển lỗ hổng zero-day và khai thác hạ nguồn rộng rãi hơn.

Hoạt động của nhóm UNC5221 và Mã độc BRICKSTORM

Kể từ tháng 3 năm 2025, GTIG đã quan sát nhiều vụ xâm nhập được gán cho UNC5221 và các nhóm liên quan có liên kết với Trung Quốc. Nhóm này sử dụng BRICKSTORM để tấn công các thiết bị thiếu hỗ trợ giải pháp phát hiện và phản ứng điểm cuối (EDR) truyền thống. Chi tiết về chiến dịch có thể được tìm thấy trên blog của Google Cloud.

Khai thác ban đầu và Triển khai

Quyền truy cập ban đầu thường được thiết lập bằng cách lợi dụng cơ sở hạ tầng biên và truy cập từ xa bị thỏa hiệp. Điều này bao gồm việc khai thác các lỗ hổng zero-day chưa được công bố hoặc vá lỗi trên các thiết bị mạng. Sau khi xâm nhập thành công, kẻ tấn công thiết lập quyền kiểm soát.

Triển khai Backdoor BRICKSTORM trên hệ thống mục tiêu

Kẻ tấn công triển khai backdoor BRICKSTORM được viết bằng ngôn ngữ Go trên các thiết bị Linux và BSD. Các hệ thống mục tiêu cụ thể bao gồm VMware vCenter và các máy chủ ESXi.

BRICKSTORM tích hợp chức năng SOCKS proxy, cho phép di chuyển ngang trong mạng với mức tạo dữ liệu telemetry tối thiểu. Điều này làm cho việc phát hiện trở nên khó khăn hơn.

Trong một trường hợp, Mandiant đã phát hiện một biến thể BRICKSTORM có tính năng trì hoãn thời gian. Biến thể này nằm im bất hoạt cho đến một ngày xác định trước trong tương lai. Điều này cho thấy sự phát triển mã độc tích cực và khả năng thích ứng nhanh chóng với các nỗ lực ứng phó sự cố.

Leo thang Đặc quyền và Thu thập Dữ liệu

BRICKSTEAL và Đánh cắp thông tin đăng nhập

Kỹ thuật leo thang đặc quyền bao gồm việc cài đặt một Java Servlet filter độc hại trong bộ nhớ. Filter này được đặt tên là BRICKSTEAL. BRICKSTEAL chặn các tiêu đề xác thực HTTP Basic trên các URI đăng nhập web của vCenter để thu thập các thông tin đăng nhập có đặc quyền.

Thu thập thông tin từ Delinea Secret Server

Nhóm tấn công cũng đã tự động hóa việc thu thập thông tin đăng nhập từ các phiên bản Delinea Secret Server. Họ sử dụng các tiện ích “secret stealer” mã nguồn mở để làm phong phú bộ công cụ truy cập của mình. Điều này giúp mở rộng khả năng tiếp cận các hệ thống nhạy cảm.

Kỹ thuật Đánh cắp Dữ liệu và Mục tiêu Gián điệp

Với các thông tin đăng nhập đã thu thập, kẻ tấn công sao chép các máy ảo quan trọng. Các máy ảo này bao gồm bộ điều khiển miền (domain controllers) và kho bí mật (secret vaults). Việc sao chép được thực hiện bằng cách sử dụng các sự kiện ghi nhật ký của vCenter.

Sau đó, kẻ tấn công gắn đĩa ảo đã sao chép ở chế độ ngoại tuyến (offline). Từ đó, họ trích xuất dữ liệu nhạy cảm mà không kích hoạt các biện pháp phòng thủ dựa trên máy chủ. Các hoạt động của mã độc BRICKSTORM phản ánh một chương trình nghị sự gián điệp đa diện.

Mục tiêu bao gồm thu thập thông tin tình báo địa chính trị từ các công ty luật Hoa Kỳ, xâm nhập hạ nguồn qua các nhà cung cấp SaaS, và đánh cắp tài sản trí tuệ từ các công ty công nghệ. Mục tiêu cuối cùng là thúc đẩy phát triển khai thác lỗ hổng zero-day mới.

Chiến lược Phát hiện và Giảm thiểu Mã độc BRICKSTORM

Công cụ quét BRICKSTORM của Mandiant

Để hỗ trợ các nhà phòng thủ, Mandiant đã phát hành một công cụ quét BRICKSTORM trên GitHub. Công cụ này tái tạo quy tắc YARA G_APT_Backdoor_BRICKSTORM_3 mà không yêu cầu cài đặt YARA. Công cụ có sẵn tại GitHub của Mandiant.

Script này quét các thiết bị dựa trên *nix và các ảnh sao lưu. Nó tìm kiếm các chuỗi và mẫu hex độc đáo liên quan đến mã độc BRICKSTORM. Các tổ chức có thể tải xuống công cụ và tích hợp vào quy trình quét sao lưu hoặc hệ thống tệp hiện có. Mục đích là để phát hiện các lây nhiễm tiềm ẩn trước khi chúng có thể tái thiết lập sự dai dẳng.

Chiến lược Săn lùng Mối đe dọa dựa trên TTP

Với tính bảo mật hoạt động cao của BRICKSTORM và việc thiếu tái sử dụng các chỉ số nguyên tử (atomic indicators), Mandiant khuyến nghị phương pháp săn lùng dựa trên TTP (Tactics, Techniques, and Procedures). Các kịch bản săn lùng chính bao gồm:

• Kiểm kê lại tài sản để đưa vào các thiết bị chưa được quản lý: firewall, VPN concentrator, nền tảng ảo hóa, hệ thống hội nghị và các thiết bị chuyên dụng. Giao diện quản lý của chúng có thể đóng vai trò là điểm thoát mã độc.
• Phân tích nhật ký mạng và bản ghi DNS để tìm lưu lượng truy cập đi ra đáng ngờ từ các giao diện này, đặc biệt là kết nối DNS-over-HTTP (DoH) đến các miền không điển hình.

Thực hiện các hoạt động săn lùng này đòi hỏi kiểm kê tài sản cập nhật và thu thập nhật ký tập trung. Điều này giúp tăng cường khả năng phát hiện và ứng phó với các tấn công mạng tinh vi.

Biện pháp Phòng thủ Thiết yếu cho An ninh Mạng

Các nhà phòng thủ nên thực thi quyền truy cập ít đặc quyền nhất và phân đoạn mạng nghiêm ngặt cho các giao diện quản lý thiết bị. Họ cũng cần khóa quyền truy cập internet vào các miền cập nhật của nhà cung cấp. Đồng thời, áp dụng xác thực đa yếu tố (MFA) cho các lần đăng nhập vCenter là điều cần thiết.

Việc củng cố các kho thông tin đăng nhập và lưu trữ khóa dựa trên TPM (Trusted Platform Module) trên các máy chủ quan trọng tiếp tục giảm thiểu nguy cơ rò rỉ bí mật. Các tổ chức trong các ngành dọc bị ảnh hưởng phải giả định rằng các thiết bị của họ là những điểm đột nhập tiềm năng. Họ cần ưu tiên các biện pháp phòng thủ dựa trên TTP để phát hiện và làm gián đoạn mã độc BRICKSTORM. Điều này giúp ngăn chặn nó mang lại lợi thế chiến lược cho những kẻ vận hành.