Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Google cảnh báo: Phần mềm độc hại Brickstorm đánh cắp dữ liệu các tổ chức tại Mỹ trong hơn một năm

10:58 | 28/09/2025
Hồng Đạt

Những tin tặc Trung Quốc bị nghi ngờ đã sử dụng phần mềm độc hại Brickstorm trong các hoạt động gián điệp dai dẳng nhắm vào các tổ chức tại Mỹ trong lĩnh vực công nghệ và pháp lý.

Về Brickstorm

Brickstorm là một backdoor dựa trên Go, đã được Google ghi nhận vào tháng 4/2024 sau các cuộc xâm nhập liên quan đến tin tặc Trung Quốc, xuất phát từ nhiều thiết bị biên khác nhau và không bị phát hiện trong môi trường nạn nhân trong hơn một năm. Phần mềm độc hại này đóng vai trò là máy chủ web, dropper, SOCKS relay và công cụ thực thi lệnh shell.

Theo nhóm tình báo mối đe dọa GTIG của Google, những kẻ tấn công đã sử dụng Brickstorm để âm thầm thu thập dữ liệu từ mạng của nạn nhân, trong khoảng thời gian trung bình là 393 ngày trước khi bị phát hiện. Các nhà nghiên cứu xác nhận các tổ chức bị xâm phạm hoạt động trong lĩnh vực pháp lý và công nghệ, các nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS).

Google lưu ý rằng việc xâm phạm các thực thể như vậy có thể giúp kẻ tấn công phát triển các lỗ hổng zero-day và mở rộng cuộc tấn công sang các nạn nhân phía sau, đặc biệt là những mục tiêu không được bảo vệ bởi các giải pháp phát hiện và phản hồi điểm cuối (EDR).

Liên quan đến nhóm tin tặc UNC5221

Các nhà nghiên cứu cho rằng những cuộc tấn công này là do nhóm tin tặc UNC5221 của Trung Quốc thực hiện, vốn nổi tiếng vì khai thác lỗ hổng zero-day của Ivanti để tấn công các cơ quan chính phủ bằng phần mềm độc hại tùy chỉnh như Spawnant và Zipline.

Do thời gian “duy trì” lâu dài trên hệ thống nạn nhân và UNC5221 sử dụng các tập lệnh chống điều tra số để che giấu đường dẫn xâm nhập, GTIG không thể xác định chắc chắn vectơ truy cập ban đầu, nhưng các nhà nghiên cứu tin rằng có sự khai thác lỗ hổng zero-day trong các thiết bị biên.

Brickstorm được triển khai trên các thiết bị không hỗ trợ EDR, bao gồm các điểm cuối VMware vCenter/ESXi, nơi nó thiết lập liên lạc với máy chủ điều khiển và ra lệnh (C2) trong khi ngụy trang Cloudflare, Heroku và lưu lượng hợp pháp khác.

Sau khi thiết lập được chỗ đứng, kẻ tấn công cố gắng leo thang đặc quyền bằng cách sử dụng Java Servlet Filter (Bricksteal) độc hại trên vCenter, để đánh cắp thông tin đăng nhập cũng như sao chép máy ảo Windows Server để trích xuất bí mật. Thông tin đăng nhập bị đánh cắp sau đó được sử dụng để di chuyển ngang và duy trì, bao gồm bật SSH trên ESXi và sửa đổi các tập lệnh khởi động init[.]d và systemd.

Mục tiêu hoạt động chính của Brickstorm là đánh cắp email thông qua Microsoft Entra ID Enterprise Apps, sử dụng proxy SOCKS để xâm nhập vào các hệ thống nội bộ và kho lưu trữ code, duy trì mức độ ẩn danh cao.

Quan sát của Google cho thấy các tin tặc UNC5221 tập trung mạnh vào các nhà phát triển, quản trị viên và cá nhân có liên quan đến lợi ích kinh tế và an ninh của Trung Quốc. Khi hoạt động hoàn tất, phần mềm độc hại sẽ bị xóa để cản trở việc điều tra số. Việc này càng trở nên phức tạp hơn do các tin tặc này không bao giờ sử dụng hai lần cùng một tên miền C2 hoặc mẫu phần mềm độc hại.

Twitter Zalo Facebook YouTube Copy Link QR Code
ZIPLINE CHỐNG ĐIỀU TRA SỐ UNC5221 BRICKSTORM THỰC THI SHELL BACKDOOR PHẦN MỀM ĐỘC HẠI SPAWNANT LỖ HỔNG ZERO-DAY DROPPER ĐÁNH CẮP DỮ LIỆU TIN TẶC TRUNG QUỐC
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết