Source : Mandiant (Google Threat Intelligence Group). Billet technique présentant BRICKSTORM, une backdoor furtive utilisée par des acteurs à nexus chinois pour de l’espionnage de longue durée dans les secteurs technologique et juridique. Le post partage des règles YARA et un script de scan pour appliances et systèmes Linux/BSD, avec des retours montrant l’efficacité des scans de sauvegardes pour trouver des binaires BRICKSTORM.

🌐 Trafic Internet des appliances/équipements de bordure : utiliser l’inventaire des IP de gestion pour traquer des beaconings dans les logs réseau. Les appliances ne devraient presque jamais contacter Internet depuis ces IP (hors mises à jour et crash analytics). Tout trafic sortant vers des domaines/IP non contrôlés par le fabricant est très suspect. BRICKSTORM peut utiliser le DNS over HTTPS (DoH), également rare depuis des IP de gestion.

🔎 Accès aux systèmes Windows depuis les appliances : l’acteur s’est connecté majoritairement via des logons type 3 (network), parfois en RDP. De telles connexions doivent être considérées suspectes (faux positifs possibles : VPN d’entreprise effectuant des requêtes LDAP, scanners authentifiés). En plus de la télémétrie EDR, collecter les logs Terminal Services et Security, ainsi que le Windows User Access Log (UAL) (Windows\System32\LogFiles\Sum, parsable avec SumECmd), qui conserve des traces d’authentifications (réussies/échouées) souvent plus longtemps que les journaux classiques.

🧰 Accès aux identifiants et secrets : exploiter les Shellbags des postes/serveurs Windows pour identifier des parcours de dossiers anormaux, notamment :

  • Accès à des chemins par des comptes de service peu connus/peu utilisés
  • Parcours depuis des serveurs vers un chemin UNC pointant vers un poste (ex. \bobwin7.corp.local...)
  • Accès à des emplacements contenant des secrets/jetons : profils Firefox (%appdata%\Mozilla\Firefox\Profiles), jetons de sessions (Users<username>.azure), Windows Credential Vault (%appdatalocal%\Microsoft\Credentials), clés DPAPI (%appdata%\Microsoft\Protect<SID>)

📨 Accès à M365 via Enterprise Application (Entra ID) avec scopes mail.read ou full_access_as_app pour de l’accès/exfiltration massifs. Pistes de chasse :

  1. Énumérer les applications/registrations avec des permissions Graph de lecture de tous les mails
  2. Vérifier la présence d’un secret/certificat et relever les IDs clients
  3. Rechercher ces IDs dans le Unified Audit Log ou la table OfficeActivity (Sentinel) pour les événements mailitemsaccessed
  4. Analyser IP source et user-agent, et vérifier un intérêt répété pour les boîtes de personnes clés L’acteur utilise des VPN/proxys commerciaux (PIA, NordVPN, Surfshark, VPN Unlimited, PrivadoVPN) et un réseau d’obfuscation basé sur des routeurs SOHO compromis ; privilégier l’analyse des SessionID s’étalant sur plusieurs IP/locations atypiques.

🖥️ VMware/vCenter : les logs VPXD montrent des clonages de VMs sensibles (coffres-forts à mots de passe, contrôleurs de domaine), souvent réalisés avec VSPHERE.LOCAL\Administrator ; les clones sont supprimés rapidement et l’activité se concentre entre 01:00–10:00 UTC. L’acteur crée des comptes locaux pour déployer BRICKSTORM, les ajoute au groupe BashShellAdministrators, se connecte en SSH depuis une appliance compromise, puis supprime ces comptes. Les preuves figurent notamment dans /var/log/audit/sso-events/audit_events.log.

🧩 IOCs et artefacts observables (exemples) :

  • Emplacements/logs : Windows\System32\LogFiles\Sum (UAL), /var/log/audit/sso-events/audit_events.log, logs VPXD (vCenter)
  • Chemins sensibles : %appdata%\Mozilla\Firefox\Profiles, Users<username>.azure, %appdatalocal%\Microsoft\Credentials, %appdata%\Microsoft\Protect<SID>\
  • Comptes/groupes : VSPHERE.LOCAL\Administrator, BashShellAdministrators
  • Réseaux/protocoles : DoH depuis IP de gestion, usage de VPN/proxys commerciaux et d’un réseau d’obfuscation SOHO

🎯 TTPs mis en évidence :

  • Déploiement de la backdoor BRICKSTORM sur appliances et vCenter (persistance)
  • C2 via DoH, beaconing discret depuis IP de gestion d’appliances
  • Mouvement latéral vers Windows via logons type 3 et RDP depuis des appliances
  • Credential access via parcours de dossiers (Shellbags), collecte de jetons/navigateurs, DPAPI et Credential Vault
  • Abus de Microsoft Entra ID Enterprise Applications avec permissions app-only pour l’accès massif aux boîtes M365 (événements mailitemsaccessed)
  • Évasion : création/suppression de comptes locaux, clones de VMs puis suppression, IP masquées par VPN/proxys et routeurs SOHO, mimétisme de conventions de nommage de comptes

Type : analyse de menace technique destinée à partager des détections concrètes et des pistes de chasse pour identifier l’activité BRICKSTORM.

🧠 TTPs et IOCs détectés

TTP

[‘Déploiement de la backdoor BRICKSTORM sur appliances et vCenter (persistance)’, ‘C2 via DNS over HTTPS (DoH), beaconing discret depuis IP de gestion d’appliances’, ‘Mouvement latéral vers Windows via logons type 3 et RDP depuis des appliances’, ‘Credential access via parcours de dossiers (Shellbags), collecte de jetons/navigateurs, DPAPI et Credential Vault’, ‘Abus de Microsoft Entra ID Enterprise Applications avec permissions app-only pour l’accès massif aux boîtes M365 (événements mailitemsaccessed)’, ‘Évasion : création/suppression de comptes locaux, clones de VMs puis suppression, IP masquées par VPN/proxys et routeurs SOHO, mimétisme de conventions de nommage de comptes’]

IOC

[‘Emplacements/logs : Windows\System32\LogFiles\Sum (UAL), /var/log/audit/sso-events/audit_events.log, logs VPXD (vCenter)’, ‘Chemins sensibles : %appdata%\Mozilla\Firefox\Profiles, Users\\.azure\, %appdatalocal%\Microsoft\Credentials, %appdata%\Microsoft\Protect\\’, ‘Comptes/groupes : VSPHERE.LOCAL\Administrator, BashShellAdministrators’, ‘Réseaux/protocoles : DoH depuis IP de gestion, usage de VPN/proxys commerciaux et d’un réseau d’obfuscation SOHO’]

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign?hl=en