BRICKSTORM : détection d’un backdoor ELF qui contourne les EDR sur VCSA et équipements Linux/BSD
Source et contexte: Rubrik Zero Labs publie une analyse intitulée Unmasking the Invisible: Hunting and Defeating EDR-Evading Threats Like BRICKSTORM, soulignant que les EDR traditionnels ne tournent pas (ou ne peuvent pas) sur des appliances telles que VMware vCenter Server Appliance (VCSA) et d’autres équipements réseau Linux/BSD — une surface dont des acteurs malveillants tirent parti. 🔍 L’article met en avant des règles YARA signées par Google Threat Intelligence Group (GTIG) pour identifier le backdoor BRICKSTORM. Les règles référencées incluent G_APT_Backdoor_BRICKSTORM_3, G_Backdoor_BRICKSTORM_2, G_APT_Backdoor_BRICKSTORM_1 et G_APT_Backdoor_BRICKSTORM_2, avec des conditions ciblant des binaires ELF (vérifications de magie ELF comme 0x464c457f / 0x7F454C46) et des motifs d’obfuscation/décryptage. ...