Az új kínai Brickstorm-hullám veszélybe sodorja a VMware-szervereket

Az Egyesült Államok kiberbiztonsági hatósága, a CISA arra figyelmeztet, hogy kínai hackercsoportok a Brickstorm nevű rosszindulatú szoftverrel támadják a VMware vSphere szervereket. A támadók rejtett, engedély nélküli virtuális gépeket hoznak létre, hogy kijátsszák a védelmi rendszereket, és érzékeny adatokat lopjanak el, például mentett jelszavakat és virtuális gépek pillanatképeit.

Kifinomult titkosítás és rejtőzködés

A Brickstorm többrétegű titkosítást alkalmaz, többek között HTTPS-t, WebSocketeket és egymásba ágyazott TLS-t, hogy védje a kommunikációs csatornákat. Ezen kívül képes DNS-over-HTTPS segítségével elrejteni magát, valamint a belső hálózati mozgásokat álcázni SOCKS-proxyval. A repertoár része az önjavító mechanizmus is: ha a kártevő működését megzavarják, automatikusan újraindul vagy újratelepül.

Magas szintű támadások és folyamatos jelenlét

2024 áprilisában kínai hackerek egy szervezet DMZ-webkiszolgálóját törték fel, majd innen továbblépve behatoltak a belső VMware vCenter-szerverre, ahol telepítették a Brickstormot. További két tartományvezérlőt is kompromittáltak, valamint ellopták a titkosítási kulcsokat egy Active Directory Federation Services-kiszolgálóról. A támadók 2024 áprilisától legalább 2025 szeptemberéig észrevétlenül hozzáfértek a rendszerekhez, közben aktívan adatokat, felhasználói adatbázisokat és érzékeny fájlokat loptak.

Védekezés megerősítése

A CISA minden szervezetet, különösen a kritikus infrastruktúrát működtetőket felszólít, hogy saját YARA- és Sigma-szabályokkal vizsgálják át rendszereiket a Brickstorm vagy más hasonló kártevők jelenlétére. Javasolt letiltani a jogosulatlan DNS-over-HTTPS-forgalmat, valamint szűrni a külső hálózati kapcsolatokat. Fontos a peremhálózati eszközök naprakész nyilvántartása, a gyanús forgalom figyelése és a hálózat szegmentálása is, hogy a támadók ne tudjanak könnyen továbblépni a DMZ-ből a belső hálózatokra.

Kínai hackerszervezetek nyomában

Egy másik jelentés szerint a CrowdStrike kiberbiztonsági cég azonosította, hogy 2025-ben amerikai jogi, technológiai és gyártóvállalatok VMware vCenter szervereit a kínai Warp Panda csoport támadta. Ugyanez a csoport ismeretlen, Junction és GuestConduit nevű kártevőket is bevetett. A Google biztonsági kutatói az UNC5221 néven ismert csoportot hozták összefüggésbe ezekkel a hosszú távú támadásokkal, amely korábban már más, nulladik napi sebezhetőségeket is kihasznált, hogy egyedi kártevőket juttasson amerikai hálózatokba.

2025, adrienne, www.bleepingcomputer.com alapján