BRICKSTORM : backdoor furtive (nexus Chine) ciblant appliances, Windows, M365 et VMware
Source : Mandiant (Google Threat Intelligence Group). Billet technique présentant BRICKSTORM, une backdoor furtive utilisée par des acteurs à nexus chinois pour de l’espionnage de longue durée dans les secteurs technologique et juridique. Le post partage des règles YARA et un script de scan pour appliances et systèmes Linux/BSD, avec des retours montrant l’efficacité des scans de sauvegardes pour trouver des binaires BRICKSTORM. 🌐 Trafic Internet des appliances/équipements de bordure : utiliser l’inventaire des IP de gestion pour traquer des beaconings dans les logs réseau. Les appliances ne devraient presque jamais contacter Internet depuis ces IP (hors mises à jour et crash analytics). Tout trafic sortant vers des domaines/IP non contrôlés par le fabricant est très suspect. BRICKSTORM peut utiliser le DNS over HTTPS (DoH), également rare depuis des IP de gestion. ...