Предупреждение о сборе статистики

DigiNews целенаправленно не собирает и не хранит историю визитов, но в работе использует счётчики, который могут собирать статистику посещений.

Измение этой статистики, её динамика помогает нам понимать предпочтения читателей и в какую сторону нам двигаться для улучшения. Ваше согласие нам поможет в этом.

Ссылка: [Политика безопасности dgnews.ru]

Китайские кибершпионы нацеливаются на VMware vSphere для долгосрочного закрепления

Lucian Constantin
06.12.2025
Безопасность
Китай,хакеры,VMware,BRICKSTORM,кибербезопасность,вредоносное ПО,бэкдор,CISA,инфраструктура,защита данных

Китайские хакеры используют новую вредоносную программу BRICKSTORM для компрометации серверов VMware. Аналитики CISA предупреждают об использовании бэкдоров и дают рекомендации по защите инфраструктуры. Узнайте больше о способах атаки и мерах противодействия.

Китайские хакеры, действующие под государственным контролем, устанавливают бэкдоры на серверы VMware vCenter и VMware ESXi с использованием вредоносной программы, написанной на Go, что позволяет им обеспечивать долгосрочное присутствие в сети жертв. Согласно совместному отчету Агентства по кибербезопасности и защите инфраструктуры США (CISA), Национального агентства безопасности (NSA) и Канадского центра кибербезопасности (Cyber Centre), основными целями стали организации из секторов государственных услуг и объектов инфраструктуры.

Вредоносная программа, известная в индустрии безопасности как BRICKSTORM, была впервые сообщена исследователями из Mandiant и группы Threat Intelligence компании Google в сентябре. На тот момент Google сообщила, что бэкдор оставался незамеченным в течение 369 дней в среднем и был обнаружен в сетях американских юридических фирм, поставщиков SaaS, компаний, занимающихся аутсорсингом бизнес-процессов, и технологических компаний.

CISA проанализировала восемь различных образцов BRICKSTORM, включая один, собранный с сервера VMware vCenter организации, где заражение осталось незамеченным более полутора лет, что позволило злоумышленникам перемещаться по сети.

От веб-шелла к управлению доменом

В инциденте, расследованном CISA, злоумышленники изначально получили доступ к общедоступному веб-серверу, хотя метод взлома остается неясным. После этого они развернули веб-шелл — по сути, веб-скрипт, который служит бэкдором для удаленного выполнения команд на сервере.

Через веб-сервер злоумышленники смогли извлечь учетные данные для учетной записи службы и использовали их для доступа к контроллеру домена, откуда скопировали базу данных Active Directory. Учетные данные для второй учетной записи службы были использованы для доступа к другому контроллеру домена во внутренней сети и копирования базы данных AD, которая включала учетные данные, используемые поставщиком услуг управляемого сервиса (MSP).

Используя учетные данные MSP, злоумышленники смогли получить доступ к серверу VMware vCenter и развернули вредоносную программу BRICKSTORM в каталоге /etc/sysconfig/.

Разработан для работы в виртуализированных средах

Аналитики CISA, NSA и Канадского центра кибербезопасности отмечают, что некоторые образцы BRICKSTORM обладают способностью к виртуализации и создают интерфейс виртуальной сокета (VSOCK), который обеспечивает меж-виртуальной коммуникацию и эксфильтрацию данных.

Вредоносная программа также проверяет среду при запуске, чтобы убедиться, что она работает как дочерний процесс и из определенного пути. Это часть набора возможностей самоконтроля, которые обеспечивают ее устойчивость путем переустановки и повторного запуска, если обнаруживается, что что-то работает неправильно.

Вредоносная программа имитирует функциональность веб-сервера для связи с центром управления (C2), чтобы маскироваться под законный трафик. Он также предоставляет прокси SOCKS5 для злоумышленников, чтобы прокладывать туннели для трафика во время операций по перекрестному перемещению.

С точки зрения функций, BRICKSTORM позволяет угрожающим субъектам просматривать файловую систему и выполнять команды оболочки, обеспечивая им полный контроль над скомпрометированной системой.

«После установления безопасного соединения с доменом C2, Образец 1 использует пользовательский пакет Go wssoft2 для управления входящими сетевыми подключениями и обработки получаемых им команд», — сообщили аналитики CISA. «Команды направляются в один из трех обработчиков в зависимости от необходимой функции: обработчик SOCKS, обработчик веб-сервиса и обработчик команд».

Меры по смягчению последствий

Совместное предупреждение содержит индикаторы компрометации для проанализированных образцов, а также правила обнаружения YARA и Sigma. Агентства также рекомендуют следующее:

  • Обновите серверы VMware vSphere до последней версии.
  • Усильте защиту сред VMware vSphere, применив рекомендации VMware.
  • Проведите инвентаризацию всех устройств сетевой периферии и отслеживайте любую подозрительную сетевую активность, исходящую от этих устройств.
  • Убедитесь, что надлежащая сегментация сети ограничивает сетевой трафик от DMZ к внутренней сети.
  • Отключите RDP и SMB от DMZ к внутренней сети.
  • Применяйте принцип наименьших привилегий и ограничивайте учетным записям служб только необходимые разрешения.
  • Увеличьте мониторинг учетных записей служб, которые обладают высокими привилегиями и имеют предсказуемый шаблон поведения (например, сканы, которые надежно выполняются в определенное время дня).
  • Блокируйте неавторизованные провайдеры DNS-over-HTTPS (DoH) и внешний трафик DoH для уменьшения неконтролируемых коммуникаций.

Автор – Lucian Constantin

Оригинал статьи