Una nueva amenaza persistente y sigilosa, el backdoor BRICKSTORM, ha sido detectada apuntando a organizaciones de los sectores tecnológico y legal. Vinculado al actor UNC5221, este malware está diseñado con un alto grado de seguridad, lo que le permite mantener el acceso en las redes comprometidas durante un alarmante promedio de 393 días.
Funcionamiento y modus operandi de BRICKSTORM
BRICKSTORM utiliza un diseño modular y técnicas avanzadas para evadir la detección en cada fase del ataque:
El vector inicial es el Spear-phishing, que entrega documentos maliciosos capaces de explotar una vulnerabilidad zero-day en un motor de renderizado de documentos. Esto permite la instalación de un cargador ligero sin levantar sospechas. Este cargador es multietapa, ya que descarga una carga útil cifrada desde el almacenamiento en la nube comprometida, dividiendo el malware en pequeños componentes para evadir la detección.
Para la persistencia, el malware opera de forma sigilosa: crea tareas programadas con nombres parecidos a los procesos de mantenimiento del sistema y reconstruye el cargador a partir de fragmentos guardados en Alternate Data Streams (ADS), una técnica que evita dejar trazas visibles en el disco y complica el análisis forense tradicional.
Una vez activa, sus comunicaciones son encubiertas: utiliza túneles HTTP sobre DNS y WebSockets con dominios no estándar para ocultar el canal de mando y control (C2), dificultando el monitoreo estándar de red y el filtrado por firewalls.
El backdoor incluye módulos en memoria para el reconocimiento del sistema, la recolección de credenciales, la inyección de código y la interacción con procesos, lo que le otorga flexibilidad según el entorno de la víctima.
Para el movimiento lateral y escalada de privilegios, los atacantes roban credenciales legítimas y son capaces de explotar vulnerabilidades en electrodomésticos o infraestructura virtual. Un método avanzado observado es el despliegue de un filtro de Java Servlet llamado BRICKSTEAL en servidores vCenter (la interfaz de gestión de VMware) para capturar credenciales.
En sus operaciones encubiertas, los atacantes aprovechan la infraestructura virtual, llegando a clonar máquinas virtuales sin encenderlas para extraer datos sensibles, como archivos de bases de datos de dominio, sin activar las alarmas de seguridad que la activación de una VM podría generar.
Puntos Críticos de la Amenaza
- Ataque a Appliances: BRICKSTORM se dirige a dispositivos (como enrutadores, firewalls, electrodomésticos Linux/BSD) que muchas organizaciones no cubren con herramientas de EDR.
- Uso de Credenciales Válidas: Los atacantes usan credenciales legítimas comprometidas, lo que reduce las señales de alarma tradicionales que buscan exploits “ruidosos”.
- Operación a Largo Plazo: El malware incluye un temporizador interno que aplaza la comunicación con el servidor C2, lo que sugiere una operación planeada a largo plazo.
Recomendaciones
- Documenta y monitorea todos los dispositivos de red y servidores de infraestructura.
- Asegúrese de que los registros de estos dispositivos sean detallados y se envíen a sistemas de monitoreo centralizado (SIEM).
- Implementa Autenticación Multifactor (MFA) robusta para todos los accesos administrativos.
- Rotas credenciales regularmente y aplica el principio de mínimos privilegios.
- Configura alertas para el uso inusual de Alternate Data Streams (ADS), la creación de tareas programadas sospechosas y la ejecución de scripts de PowerShell desde fragmentos de código.
- Analiza el tráfico DNS / HTTP en busca de patrones de comunicación encubiertas provenientes de dispositivos internos inusuales.
