Selon un rapport TLP:CLEAR publié par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Centre canadien pour la cybersécurité, des acteurs étatiques de la RPC utilisent le malware BRICKSTORM pour maintenir une persistence de longue durée dans des environnements VMware vSphere (vCenter/ESXi) et aussi des environnements Windows. L’analyse couvre 8 échantillons et inclut des IOCs, des règles YARA et Sigma, ainsi que des recommandations de détection et d’atténuation.

🧱 Contexte et impact

  • Les secteurs principalement touchés sont les services gouvernementaux et technologies de l’information.
  • Dans un cas examiné, l’accès persistant remonte à avril 2024 jusqu’au 3 septembre 2025, avec compromission d’un serveur ADFS et exfiltration de clés cryptographiques.
  • BRICKSTORM est une backdoor Go/ELF (variantes Windows signalées), offrant initiation, persistance et C2 chiffré (HTTPS → WebSockets + TLS imbriqués), DoH, proxy SOCKS, shell interactif et gestion de fichiers; certains échantillons (7/8) prennent en charge VSOCK pour la communication inter-VM.

🔁 Livraison, mouvement latéral et persistance

  • Point d’appui initial observé via un web shell dans une DMZ, puis mouvement latéral par RDP avec comptes de service valides et copie d’ntds.dit.
  • Obtention d’un compte MSP, pivot vers vCenter, élévation de privilèges avec sudo et déploiement de BRICKSTORM dans /etc/sysconfig/, avec modification de /etc/sysconfig/init pour l’exécution au démarrage.
  • Le malware vérifie un variable d’environnement, se recopie vers des emplacements légitimes (ex. /usr/java/jre-vmware/bin/, /opt/vmware/sbin/, /etc/applmgmt/appliance/), altère PATH pour se prioriser, et utilise une fonction auto-surveillante pour se réinstaller/repartir si interrompu.

🔐 Fonctionnement et C2

  • Résolution C2 via DNS-over-HTTPS auprès de résolveurs publics (Cloudflare, Google, Quad9, NextDNS), puis session HTTPS → WSS avec TLS imbriqués et multiplexage (smux/Yamux).
  • Handlers principaux: SOCKS proxy (TCP/UDP/ICMP), Web Service (mini-serveur HTTP avec endpoints d’API cachés), Command (shell interactif), CommandNoContext (exécution sans contexte), et pour échantillons 7/8 VSOCK/VSOCK-proxy.
  • Endpoints API exposent des opérations de navigation, upload/download, création/suppression et manipulation de fichiers; le serveur camoufle des contenus HTML/CSS/JS pour se fondre dans le trafic.

🧩 IOCs (extraits)

  • Fichiers/chemins observés: /etc/sysconfig/, /etc/sysconfig/init, /usr/java/jre-vmware/bin/updatemgr, /opt/vmware/sbin/vmware-sphere, /etc/applmgmt/appliance/vami
  • Noms d’échantillons: vmsrc, vnetd, if-up, viocli, vts, vmckd (échantillons 1–6)
  • SHA256 des 8 échantillons:
    • 1: aaf5569c8e349c15028bc3fac09eb982efb06eabac955b705a6d447263658e38
    • 2: 013211c56caaa697914b5b5871e4998d0298902e336e373ebb27b7db30917eaf
    • 3: 57bd98dbb5a00e54f07ffacda1fea91451a0c0b532cd7d570e98ce2ff741c21d
    • 4: b3b6a992540da96375e4781afd3052118ad97cfe60ccf004d732f76678f6820a
    • 5: 22c15a32b69116a46eb5d0f2b228cc37cd1b5915a91ec8f38df79d3eed1da26b
    • 6: f7cda90174b806a34381d5043e89b23ba826abcc89f7abd520060a64475ed506
    • 7: 39b3d8a8aedffc1b40820f205f6a4dc041cd37262880e5030b008175c45b0c46
    • 8: 73fe8b8fb4bd7776362fd356fdc189c93cf5d9f6724f6237d829024c10263fe5
  • DoH utilisés (exemples): https://1.1.1.1/dns-query, https://1.0.0.1/dns-query, https://8.8.8.8/dns-query, https://8.8.4.4/dns-query, https://9.9.9.9/dns-query, https://9.9.9.11/dns-query, https://149.112.112.11/dns-query, https://45.90.28.160/dns-query
  • Endpoints API du web service: /api/file/change-dir, /api/file/delete-dir, /api/file/delete-file, /api/file/mkdir, /api/file/list-dir, /api/file/rename, /api/file/put-file, /api/file/get-file, /api/file/slice-up, /api/file/file-md5, /api/file/up, /api/file/stat
  • Règles fournies: YARA (CISA_251165_02, CISA_251155_02), Sigma (BRICKSTORM Backdoor Activity r2)

🛠️ TTPs (MITRE ATT&CK)

  • Persistence: T1037 (Boot/Logon Initialization Scripts), T1574.007 (Path Interception via PATH)
  • Defense Evasion: T1036 (Masquerading), T1078 (Valid Accounts)
  • Privilege Escalation: T1548.003 (Sudo)
  • Discovery: T1083 (File and Directory Discovery)
  • Credential Access: T1003.003 (NTDS)
  • C2: T1071.001 (Web Protocols/DoH), T1105 (Ingress Tool Transfer), T1090.001 (Internal Proxy)
  • Exfiltration: T1041 (Exfiltration Over C2 Channel)

Des ressources additionnelles (Google Mandiant YARA/Scanner, NVISO pour variantes Windows, script CrowdStrike VirtualGHOST, et guides de scans distants/Nessus) sont référencées. Le document inclut aussi des mesures d’atténuation (mise à jour et durcissement vSphere, segmentation DMZ, restrictions RDP/SMB, moindre privilège, surveillance des comptes de service, blocage de DoH non autorisés). Il s’agit d’une analyse technique visant à partager des IOCs et des règles de détection pour identifier BRICKSTORM et soutenir la réponse aux incidents.

🧠 TTPs et IOCs détectés

TTP

[‘T1037 (Boot/Logon Initialization Scripts)’, ‘T1574.007 (Path Interception via PATH)’, ‘T1036 (Masquerading)’, ‘T1078 (Valid Accounts)’, ‘T1548.003 (Sudo)’, ‘T1083 (File and Directory Discovery)’, ‘T1003.003 (NTDS)’, ‘T1071.001 (Web Protocols/DoH)’, ‘T1105 (Ingress Tool Transfer)’, ‘T1090.001 (Internal Proxy)’, ‘T1041 (Exfiltration Over C2 Channel)’]

IOC

{‘hash’: [‘aaf5569c8e349c15028bc3fac09eb982efb06eabac955b705a6d447263658e38’, ‘013211c56caaa697914b5b5871e4998d0298902e336e373ebb27b7db30917eaf’, ‘57bd98dbb5a00e54f07ffacda1fea91451a0c0b532cd7d570e98ce2ff741c21d’, ‘b3b6a992540da96375e4781afd3052118ad97cfe60ccf004d732f76678f6820a’, ‘22c15a32b69116a46eb5d0f2b228cc37cd1b5915a91ec8f38df79d3eed1da26b’, ‘f7cda90174b806a34381d5043e89b23ba826abcc89f7abd520060a64475ed506’, ‘39b3d8a8aedffc1b40820f205f6a4dc041cd37262880e5030b008175c45b0c46’, ‘73fe8b8fb4bd7776362fd356fdc189c93cf5d9f6724f6237d829024c10263fe5’], ‘domaine’: [‘https://1.1.1.1/dns-query’, ‘https://1.0.0.1/dns-query’, ‘https://8.8.8.8/dns-query’, ‘https://8.8.4.4/dns-query’, ‘https://9.9.9.9/dns-query’, ‘https://9.9.9.11/dns-query’, ‘https://149.112.112.11/dns-query’, ‘https://45.90.28.160/dns-query’], ‘ip’: []}

🔗 Source originale : https://www.cisa.gov/news-events/analysis-reports/ar25-338a