Трёхслойное шифрование и туннелирование: BRICKSTORM сносит любую защиту на своём пути

Китайская группировка, связанная с вредоносным актором UNC5221, развернула масштабную шпионскую кампанию с использованием новых версий вредоносной программы BRICKSTORM. С конца 2022 года её мишенями регулярно становились европейские компании, работающие в стратегических отраслях. Ранее троян ограничивался атаками на Linux-серверы vCenter, но теперь получил версии для Windows с расширенными возможностями по уклонению от обнаружения и скрытному управлению.

Согласно анализу специалистов из NVISO, Windows-вариант BRICKSTORM написан на Go 1.13.5 и отличается отсутствием прямой функции исполнения команд. Вместо этого злоумышленники используют модуль туннелирования трафика, позволяющий им задействовать протоколы RDP и SMB с помощью похищенных учётных данных. Такой подход помогает избегать обнаружения средствами, отслеживающими связь между родительскими и дочерними процессами.

Система управления файлами в BRICKSTORM построена на HTTP API с JSON-структурой, через который злоумышленники могут загружать, скачивать и модифицировать файлы. Модуль туннелирования поддерживает протоколы TCP, UDP и ICMP, что позволяет продвигаться вглубь инфраструктуры жертвы. В последних версиях внедрён параметр IPAddrs — список жёстко заданных IP-адресов, что обеспечивает работу даже при ограничении DNS-over-HTTPS.

Ранние версии вредоноса целиком полагались на DoH-запросы через сервисы Quad9 и Cloudflare, встраивая DNS-запросы в HTTPS POST-запросы. Это позволяло обойти традиционные средства контроля DNS-трафика. Новые образцы гибко переключаются между DoH и прямыми IP, адаптируясь под условия сети.

BRICKSTORM использует трёхслойную архитектуру сокрытия трафика с вложенными TLS-соединениями. Внешний слой — легитимные HTTPS-сессии к платформам без серверной части, таким как Cloudflare Workers и Heroku, с валидными сертификатами. Средний слой включает апгрейд соединения до WebSocket и вторичное TLS-рукопожатие с аутентификацией по статическому ключу. Внутренний уровень использует библиотеку Yamux от HashiCorp для мультиплексирования C2-активности, включая туннелирование и кражу файлов.

Даже при перехвате внешнего HTTPS-трафика основной поток управления остаётся зашифрованным и скрытым. Аналитики также зафиксировали утечки IP-адресов из промежуточной инфраструктуры BRICKSTORM во время технических работ. Среди них обнаружены VPS-адреса, размещённые на Vultr.

Управляющие серверы используют динамические DNS-сервисы вроде «nip[.]io» и уязвимости в системе прозрачности сертификатов. Например, домен «ms-azure[.]azdatastore[.]workers[.]dev» был оформлен с помощью подстановочного сертификата Cloudflare. Подобные домены фиксируются как минимум с 2022 года. Операторы регулярно меняют IP-адреса и сертификаты, поддерживая устойчивость и анонимность.

Специалисты NVISO рекомендуют организациям применять многоуровневую защиту. В частности, блокировать DoH-провайдеров, проверять TLS-сессии на признаки вложенности, использовать многофакторную аутентификацию и отслеживать аномальную активность по протоколам SMB и RDP. В числе индикаторов атаки также упоминается запуск процессов от «CreatedUACExplorer.exe» и обращения к подозрительным IP-адресам.

Учитывая, что действия UNC5221 согласуются с государственной программой КНР по промышленному шпионажу и сбору технологических секретов, внимание к серверным облачным платформам и системам DNS-контроля остаётся критически важным. Объединение усилий, обмен информацией и постоянный мониторинг становятся ключевыми мерами противодействия угрозам уровня BRICKSTORM.