La porte dérobée BRICKSTORM d'UNC5221 est plus qu'un simple malware. Il prouve que les adversaires avancés gagnent en se cachant dans les endroits que les équipes SOC ne peuvent pas voir. Mandiant a découvert que les attaquants utilisant BRICKSTORM ont vécu à l'intérieur des entreprises américaines pendant plus de 400 jours en moyenne avant d'être détectés. Ils y sont parvenus en exploitant les angles morts des appareils de réseau, des plates-formes de virtualisation et des systèmes d'identité. Cette campagne n'a pas consisté à lancer des attaques fracassantes. Il s'agissait de patience, de furtivité et de persistance à l'intérieur d'infrastructures que la plupart des outils de sécurité ignorent.
Appareils dans l'obscurité : Où BRICKSTORM s'est caché
BRICKSTORM a réussi parce qu'il s'est installé dans des endroits que la plupart des équipes de sécurité surveillent rarement. La porte dérobée a été conçue pour fonctionner sur des appareils périphériques tels que les passerelles VPN, les pare-feu et les serveurs VMware vCenter. Ces systèmes sont essentiels à la continuité des activités, mais ils sont souvent dépourvus d'agents de endpoint et génèrent peu de journaux. Cette faille de sécurité a créé une cachette parfaite.
Une fois installé, BRICKSTORM se fondait dans les processus normaux et persistait même après les redémarrages en modifiant les scripts de démarrage. Du point de vue de l'attaquant, il s'agit d'un point d'ancrage idéal. Du point de vue du défenseur, il est presque invisible. Les équipes SOC qui surveillent les terminaux et les charges de travail cloud n'avaient aucun signe que des adversaires opéraient dans l'infrastructure reliant ces systèmes entre eux.
Ces angles morts donnaient aux attaquants l'espace dont ils avaient besoin pour rester cachés. Mais la furtivité n'est pas seulement liée à l'endroit où ils vivent, elle est aussi liée à la façon dont ils opèrent.
Une furtivité qui a duré plus d'un an
Les opérateurs d'UNC5221ont conçu BRICKSTORM pour éviter toutes les méthodes de détection traditionnelles. Chaque implant a été compilé de manière unique pour sa victime, souvent dépourvu d'identifiants et obscurci pour ressembler à un processus légitime. Certaines versions comportaient même une fonction de démarrage différé, qui restait en sommeil pendant des mois avant de s'activer. Lorsque le malware a été signalé, les personnes chargées de répondre à l'incident étaient déjà passées à autre chose depuis longtemps.
Cette technique explique le temps d'attente stupéfiant d 'environ 400 jours. Les indicateurs de compromission étaient pratiquement inutiles. Il n'y avait pas de domaines réutilisés, pas de hachages de fichiers répétés, ni de signatures sur lesquelles s'appuyer. Au lieu de cela, les attaquants ont vécu sur le terrain, utilisant des identifiants valides et des outils d'administration standard pour se déplacer latéralement et voler des données. Leur présence se fondait si bien dans l'activité de routine que même les équipes SOC les plus expérimentées n'en voyaient pas les signes.
En réalité, une approche statique ne permet pas d'atteindre un tel niveau de furtivité. Pour réduire le temps d'attente, la détection doit passer de la chasse aux indicateurs à la surveillance du comportement. Ce n'est qu'en repérant les anomalies subtiles dans la manière dont l'infrastructure, les utilisateurs et les services fonctionnent que les défenseurs peuvent s'approcher de l'avantage dont a bénéficié BRICKSTORM.
Quand les appareils deviennent une passerelle vers l'identité
Pour UNC5221, BRICKSTORM n'a jamais été l'objectif final. Les appareils compromis ont servi de tremplin vers les systèmes les plus importants : l'infrastructure d'identité.
Une fois à l'intérieur, les attaquants ont cloné des contrôleurs de domaine entiers pour extraire discrètement les bases de données Active Directory. Ils ont déployé des filtres de servlets personnalisés à l'intérieur de VMware vCenter pour siphonner les identifiants des administrateurs. Dans les environnements cloud , ils ont enregistré des applications malveillantes dans Microsoft 365 pour lire les boîtes aux lettres comme s'il s'agissait de services légitimes. Chacune de ces actions a permis aux attaquants d'obtenir un accès privilégié sans déclencher d'alarme.
Du point de vue d'un défenseur, cela ressemblait à des administrateurs normaux se connectant, clonant des machines ou accordant des permissions à des applications cloud . En réalité, il s'agissait d'un lent démantèlement de la confiance au cœur de l'entreprise.
Ce pivot vers l'identité est la partie la plus dommageable de la campagne. Une fois que les adversaires contrôlent les contrôleurs de domaine ou l'authentification SaaS, ils peuvent accéder à pratiquement n'importe quelle ressource. BRICKSTORM a révélé comment les attaquants combinent désormais la prise de contrôle des appareils avec le vol d'informations d'identification pour dominer les environnements hybrides.
La protection des points d'extrémité ne suffit plus lorsque l'identité est le but ultime.
Impact sur Supply Chain au-delà de la cible principale
UNC5221 ne s'arrête pas aux entreprises individuelles. Bon nombre des organisations compromises par BRICKSTORM étaient des fournisseurs de services - plateformes SaaS, sociétés d'externalisation et services juridiques qui détiennent des données ou fournissent un accès à des dizaines de clients en aval. En s'intégrant dans ces fournisseurs, les attaquants se sont positionnés pour atteindre bien au-delà d'un seul réseau.
Cette stratégie amplifie l'impact de chaque compromission. L'infiltration d'une société SaaS pourrait exposer des données sensibles provenant d'agences gouvernementales. L'intrusion dans un partenaire d'externalisation pourrait ouvrir des voies d'accès à plusieurs secteurs d'activité à la fois. Pour l'attaquant, il s'agit d'un moyen efficace d'étendre sa portée. Pour les défenseurs, c'est un rappel que votre posture de sécurité est seulement aussi forte que les partenaires et les vendeurs sur lesquels vous comptez.
La campagne BRICKSTORM met en évidence l'évolution de la compromission de la chaîne d'approvisionnement. Il ne s'agit pas toujours d'injecter des codes malveillants dans les mises à jour de logiciels. Parfois, il s'agit de cibler le tissu conjonctif des services commerciaux et d'exploiter les relations de confiance pour se déplacer silencieusement dans de nouveaux environnements.
Faire face à un adversaire de niveau supérieur
Mandiant a décrit UNC5221 comme un "adversaire très, très avancé", et BRICKSTORM l'a prouvé. Ces opérateurs ne se sont pas appuyés sur des familles de malware réutilisés au fil des campagnes. Ils ont construit des implants personnalisés, déployé une infrastructure unique pour chaque victime et démantelé les preuves avant que les intervenants ne puissent les collecter. Ils ont fait preuve de patience et de discipline dans chacune de leurs actions.
Les défenses traditionnelles ne sont pas conçues pour ce type d'adversaire :
- La détection des Endpoint ne tient pas compte des appareils qu'ils compromettent.
- Les SIEM se noient dans le bruit tandis que les vraies anomalies passent au travers.
- Les mises à jour des signatures ne peuvent pas suivre le rythme des binaires uniques et de la persistance en mémoire.
Face à un acteur qui investit autant dans la furtivité, la seule réponse réaliste consiste à modifier le modèle de détection.
Ce changement implique de se concentrer sur le comportement plutôt que sur les indicateurs. Cela signifie qu'il faut corréler l'activité à travers le réseau, l'identité et les environnements cloud afin d'exposer les schémas subtils qu'aucun outil ne peut voir de manière isolée. Tout ce qui n'est pas fait laisse des lacunes qu'un adversaire déterminé exploitera pendant des mois, voire des années.
Combler les lacunes avec Vectra AI
La campagne BRICKSTORM a été conçue pour disparaître dans le bruit. Elle s'est appuyée sur des frontaux cloud cryptés, a fait passer le DNS par HTTPS, a pivoté avec des informations d'identification valides et a discrètement stocké des données pendant des mois. C'est exactement le genre de comportements que la plateformeVectra AI est conçue pour mettre en évidence.
Voici comment Vectra AI comble les lacunes exploitées par les attaquants :
Communications externes et exfiltration
- Trafic C2 crypté et frontal : L'analyse C2 avancée détecte le fronting de domaine, le beaconing intermittent, l'utilisation inhabituelle de SaaS ou de cloud , et les sessions C2 cryptées. Les modèles analysent les anomalies dans les en-têtes HTTP, les agents utilisateurs, la rareté des destinations et la régularité du balisage afin de mettre en évidence le C2 furtif hébergé par les travailleurs , comme l'utilisation par BRICKSTORM de HTTPS et de WSS sur les services cloud .
- Résolution DNS sur HTTPS: La détection des tunnels HTTPS cachés et les modèles d'apprentissage automatique de Vectra détectent les modèles DoH cachés dans le trafic crypté. Cela permet de répondre directement à l'utilisation de DoH par BRICKSTORM pour la résolution secrète de C2.
- Tunnel DNS et protocole pour l'exfiltration: Si les attaquants se rabattent sur le tunnelage DNS ou l'exfiltration de données via C2, les détections Hidden DNS Tunnel et ATT&CK-mapped de Vectra mettent immédiatement en évidence les schémas anormaux.
Mouvement interne et collecte
- Mouvement latéral et reconnaissance : Lorsque BRICKSTORM relaie le trafic RDP ou SMB et pivote avec des informations d'identification valides, des détections telles que SMB Account Scan et Kerberos Account Scan alertent sur l'utilisation abusive d'informations d'identification et l'exploration interne suspecte.
- Mise à disposition et collecte: L'accès en masse à des référentiels, à des bases de code ou à des partages de fichiers déclenche des détections de collecte de données. Cela permet de mettre en lumière les attaquants qui préparent le matériel pour l'exfiltration avant que la perte de données ne se produise.
Défense en profondeur
- Couverture IOC complémentaire: Pour une défense en profondeur supplémentaire, les capteurs Vectra peuvent exécuter des règles basées sur Suricata (SPA), y compris des signatures communautaires telles que la règle C2 BRICKSTORM de NVISO, pour compléter les analyses basées sur le comportement.
Grâce à cette approche multicouche, les équipes SOC n'ont pas à rechercher des hachages ou des domaines uniques. Au lieu de cela, elles peuvent voir les comportements que les adversaires avancés ne peuvent pas cacher. Vectra AI met en corrélation les détections sur le réseau, l'identité, le SaaS et le cloud, transformant les points d'appui invisibles en menaces visibles et réduisant le temps d'attente de plusieurs mois à quelques instants.
Conclusion : Tirer les leçons de la tempête de verglas
BRICKSTORM n'est pas une porte dérobée de plus. Il nous rappelle que les adversaires les plus avancés prospèrent dans les endroits que les outils traditionnels ne couvrent pas. UNC5221 a survécu pendant plus d'un an à l'intérieur des réseaux d'entreprise parce qu'il opérait dans des angles morts, abusait de l'identité et faisait transiter des données par des canaux qui semblaient légitimes.
Les défenseurs ne peuvent pas s'appuyer sur des indicateurs ou des signatures statiques lorsque les attaquants changent d'infrastructure à chaque victime. Ce qui compte, c'est la capacité à détecter des comportements qui restent cohérents d'une campagne à l'autre, quelle que soit l'évolution du malware lui-même. C'est exactement ce qu'offre la plateforme Vectra AI .
En comblant les lacunes de détection au niveau du réseau, de l'identité, du SaaS et du cloud, Vectra AI permet aux équipes SOC de voir ce que les autres ne voient pas et d'arrêter les opérations furtives avant qu'elles ne se transforment en une nouvelle compromission d'une année.
Découvrez comment Vectra AI élimine les lacunes en matière de détection. Suivez la démonstration autoguidée dès aujourd'hui.