详细内容或原文请订阅后点击阅览
Google警告说,针对美国法律和技术部门的实体后门
Google警告说,与中国有联系的演员使用Brickstorm恶意软件监视美国科技和法律公司,窃取了一年多的数据。 Google威胁情报集团(GTIG)观察到使用基于GO的后门实体以自2025年3月以来维持美国组织的持久性。目标包括法律,软件作为服务(SaaS)提供商(SAAS)提供商,业务流程外包[…]
来源:Security Affairs _恶意软件Google警告说,针对美国法律和技术部门的实体后门
Pierluigi Paganini 2025年9月26日Google警告说,与中国有联系的演员使用Brickstorm恶意软件监视美国科技和法律公司,窃取了一年多的数据。
Google威胁情报小组(GTIG)观察到使用基于GO的后门实体以自2025年3月以来维持美国组织的持久性。目标包括法律,软件作为服务(SAAS)提供商(SAAS)提供商,业务流程外包商(BPOS)和技术公司。 Mandiant将该活动与中国尼克斯APT UNC5221联系起来,该团体以零日的间谍活动和更广泛的访问而闻名。
Google威胁情报小组 Brickstorm UNC5221该后门于2024年4月首次由Google详细介绍,它在多次攻击中使用了,平均未被发现了一年以上。 Brickstorm可以充当Web服务器,操纵文件系统,上传/下载文件,执行Shell命令并执行袜子代理继电器。恶意软件依赖于C2通信的Websocket。
Google详细Mandiant报告Brickstorm Intrusions经常在一年以上未被发现,从而掩盖了最初的攻击向量。证据表明,有时通过利用零日漏洞来利用外围和远程访问系统。在Linux和BSD电器上可见的基于GO的后门,可以使Socks代理使用和横向移动到具有被盗凭证的VMware Vcenter/ESXI。实体显示积极的发展和混淆。研究人员警告说,后门使用隐形策略,例如延迟的灯塔,模仿合法过程以及通过Cloudflare,Heroku和Dynamic DNS旋转C2域。
使用Brickstorm攻击的最终目标是通过ENTRA ID应用程序彻底筛选电子邮件,并使用袜子代理到达内部系统。
mail.read
full_access_as_app
报告
Mandiant发布了一个扫描仪脚本,以允许组织狩猎实体活动。
发布了扫描仪脚本 @securityaffairs