Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
La Cybersecurity and Infrastructure Security Agency (CISA) avverte che gli autori di minacce sponsorizzati dalla Cina stanno utilizzando il malware Brickstorm per ottenere una persistenza a lungo termine nelle reti di infrastrutture critiche.
Brickstorm è una backdoor personalizzata basata su Go in formato ELF (Executable and Linkable Format) che consente agli aggressori di mantenere un accesso furtivo e di fornire funzionalità di avvio, persistenza e comando e controllo sicuri (C2).
Si avvia eseguendo dei controlli e mantiene la persistenza utilizzando una funzione di auto-monitoraggio, reinstallando o riavviando automaticamente in caso di interruzione.
Per C2, Brickstorm utilizza più livelli di crittografia (HTTPS, WebSocket e Transport Layer Security (TLS) annidato) per nascondere le comunicazioni con il server C2 degli autori di attacchi informatici.
La CISA ha avvertito che utilizza anche DNS-over-HTTPS (DoH) e imita le funzionalità del server web per integrare le sue comunicazioni con il traffico legittimo.
Per il controllo remoto del sistema, fornisce agli attori informatici un accesso shell interattivo al sistema e consente loro di esplorare, caricare, scaricare, creare, eliminare e manipolare file.
Nel frattempo, alcuni campioni agiscono come proxy SOCKS, facilitando il movimento laterale e consentendo ai cybercriminali di compromettere altri sistemi.
Registrati oggi e riceverai una copia gratuita del nostro report Future Focus 2025, la guida principale su intelligenza artificiale, sicurezza informatica e altre sfide IT secondo oltre 700 dirigenti senior.
Jon Baker, vicepresidente della difesa basata sulle minacce presso AttackIQ, ha avvertito che Brickstorm "è eccellente nel non essere rilevato all'interno delle reti".
"Il malware esegue continui controlli di integrità su se stesso, consentendogli di reinstallarsi e riavviarsi in caso di manomissione, garantendone la continuità operativa", ha spiegato Baker. "Tutto questo si combina per creare un malware furtivo e resiliente, in grado di diffondersi attraverso le reti e assumere il controllo remoto di interi sistemi".
Malware Brickstorm utilizzato per colpire i settori governativo e IT
La CISA ha avvertito che gli autori di minacce legate alla Cina stanno utilizzando questo ceppo di malware per colpire le piattaforme VMware vSphere, principalmente nei settori governativo e IT. Una volta compromessi, possono utilizzare l'accesso alla console di gestione di vCenter per rubare snapshot di macchine virtuali (VM) clonate per l'estrazione delle credenziali e creare VM nascoste e non autorizzate.
La CISA ha affermato di aver analizzato otto campioni Brickstorm ottenuti dalle organizzazioni delle vittime, tra cui uno in cui ha condotto un intervento di risposta agli incidenti.
In questo caso, l'agenzia ha affermato che gli autori di attacchi informatici sponsorizzati dallo Stato cinese hanno ottenuto un accesso persistente a lungo termine alla rete interna dell'organizzazione nell'aprile 2024 e hanno caricato il malware Brickstorm su un server VMware vCenter interno.
Hanno anche ottenuto l'accesso a due controller di dominio e a un server Active Directory Federation Services (ADFS), hanno compromesso con successo il server ADFS ed esportato le chiavi crittografiche. Hanno utilizzato Brickstorm per l'accesso persistente almeno fino al 3 settembre di quest'anno.
Gabrielle Hempel, responsabile delle operazioni di sicurezza presso Exabeam, ha affermato che una delle principali preoccupazioni del malware Brickstorm è che "prende di mira i piani di controllo e non solo gli endpoint", il che lo rende un'arma potente nelle mani degli hacker.
"Si assiste alla comparsa di vSphere, vCenter e dell'infrastruttura di autenticazione come obiettivi, e questo è strategico: una volta che un avversario prende possesso del livello dell'hypervisor, i tradizionali strumenti EDR, NDR e molti SIEM diventano invisibili perché l'aggressore non risiede più nella normale telemetria dell'host o della rete", ha commentato Hempel.
La National Security Agency (NSA) degli Stati Uniti sta sollecitando le organizzazioni, in particolare quelle che operano nell'ambito delle infrastrutture critiche, dei servizi e delle strutture governative e dell'IT, a utilizzare gli indicatori di compromissione (IOC) e le firme di rilevamento descritti nel rapporto per rilevare l'attività backdoor di Brickstorm e segnalare tempestivamente qualsiasi compromissione.
Seguite ITPro su Google News per rimanere sempre aggiornati sulle nostre ultime notizie, analisi e recensioni.
ALTRO DA ITPRO
Emma Woollacott è una giornalista freelance che scrive per pubblicazioni quali BBC, Private Eye, Forbes, Raconteur e testate specializzate in tecnologia.
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube