近日,安全公司Volexity披露一起长期渗透事件:与中国相关的黑客组织VerdantBamboo(UNC5221)并非只盯单一主机,而是把目标锁在企业边界与基础设施设备上,通过Brickstorm后门实现代理能力,并配合窃取到的凭证访问受害组织的Microsoft 365环境。更麻烦的是,它们会让攻击流量看起来像来自企业内部网络,从而绕过原本用于限制外部登录的条件式访问策略。
调查人员是在追查异常网络流量时发现线索。受害环境中有一台运行Egnyte Storage Sync的Linux虚拟机设备。初步迹象显示,该设备并未连到Egnyte相关域名,反而指向攻击者控制、且通过Cloudflare代理的域名。随后对系统快照进行分析,确认这台Storage Sync设备已被植入Brickstorm恶意代码。
在入侵路径上,研究者发现攻击者使用Storage Sync系统里的服务账号登录。该账号密码曾由受害企业的委外管理服务供应商进行过变更,因此Volexity推测凭证大概率来自该供应商。获得访问后,攻击者利用账户权限配置存在的缺陷,取得能够写入系统关键目录的能力,把Brickstorm放入需要高权限才能触及的位置,并在需要时手动启动后门。
Brickstorm并不是唯一工具。研究团队指出,至少在该Storage Sync设备上,Brickstorm与另一个备援恶意程序AGENTPSD共同存在了18个月。AGENTPSD由Python编写,功能相对简化:当主后门失效时,用于重新获得远端命令执行能力。不过在本次披露中,研究者并未观察到AGENTPSD实际运行。
当受害方完成初步处置后,攻击链再次启动。研究人员发现,受害企业的防火墙管理界面曾向互联网暴露,攻击者使用未被多因素认证保护的管理员凭证登录后,启用网页式SSL VPN,再进入内网部署另一款后门PLENET到Synology NAS。PLENET基于.NET Core开发,并通过Native AOT编译为独立Linux执行文件,可进行交互式命令、文件操作以及切换指挥控制服务器。
更广的影响还出现在供应商侧:攻击者连同委外管理服务环境中的pfSense防火墙也被攻破,并部署了FreeBSD版本的Brickstorm。研究者评估,受害企业很可能是被已遭入侵的供应商进一步波及。
本次事件值得注意的点在于:攻击者刻意选择防火墙、网络存储与文件同步等“端点监测不充分”的设备,这类系统往往较难被完整监控,加之不一定能让企业快速获取全权限,因此更容易沦为长期潜伏据点。Volexity也已将Egnyte Storage Sync相关本机权限提升问题通报给Egnyte,并确认Storage Sync v13.13已修补。
