A agência americana U.S. Cybersecurity and Infrastructure Security Agency (CISA) alertou sobre uma campanha de hackers chineses que instalam backdoors em servidores VMware vSphere por meio do malware chamado Brickstorm.
Em um relatório conjunto de análise de malware, realizado em parceria com a National Security Agency (NSA) dos EUA e o Cyber Security Centre do Canadá, a CISA detalhou o exame de oito amostras do Brickstorm.
Os arquivos foram encontrados em redes de organizações vítimas, onde os invasores miraram especificamente em servidores VMware vSphere para criar máquinas virtuais ocultas.
Essa tática permite que eles atuem de forma discreta, clonando snapshots de máquinas virtuais para roubar credenciais com maior eficácia.
Segundo o boletim, o Brickstorm utiliza múltiplas camadas de criptografia para proteger suas comunicações, incluindo HTTPS, WebSockets e TLS aninhado.
O malware também emprega um proxy SOCKS para movimentação lateral nas redes comprometidas e DNS-over-HTTPS (DoH) para aumentar sua capacidade de dissimulação.
Para garantir persistência, conta com um mecanismo de automonitoramento que reinstala ou reinicia o código malicioso caso seja interrompido.
Durante a investigação de um dos casos, a CISA descobriu que os hackers chineses invadiram, em abril de 2024, um servidor web localizado na DMZ (zona desmilitarizada) de uma organização.
A partir desse ponto, avançaram lateralmente até atingir um servidor interno VMware vCenter, onde instalaram o malware.
Além disso, os invasores comprometeram dois controladores de domínio da rede da vítima e exportaram chaves criptográficas após atacarem um servidor Active Directory Federation Services (ADFS).
A presença do implante Brickstorm garantiu acesso contínuo aos sistemas invadidos entre abril de 2024 e setembro de 2025.
Com o controle do sistema, os criminosos conseguiram capturar informações do banco de dados do Active Directory e realizar backups para roubar credenciais legítimas e outros dados sensíveis.
Para detectar a presença do malware e impedir ataques potenciais, a CISA recomenda que defensores, especialmente em setores de infraestrutura crítica e órgãos governamentais, façam varreduras usando as regras YARA e Sigma criadas pela agência para identificar atividades relacionadas ao Brickstorm.
Também aconselha bloquear provedores não autorizados de DNS-over-HTTPS e restringir o tráfego externo.
Outra recomendação é realizar um inventário completo dos dispositivos na borda da rede para monitorar atividades suspeitas e segmentar o ambiente, limitando o tráfego entre a zona desmilitarizada e os ambientes internos.
"CISA, NSA e Cyber Centre instam as organizações a utilizarem os indicadores de comprometimento (IOCs) e assinaturas de detecção presentes no relatório para identificar amostras do malware Brickstorm", enfatiza o comunicado conjunto.
"Caso o Brickstorm, malwares similares ou atividades possivelmente relacionadas sejam detectados, CISA e NSA orientam que as organizações reportem os incidentes conforme exigido por leis e políticas vigentes."
No mesmo dia, a empresa de cibersegurança CrowdStrike associou ataques com o Brickstorm em servidores VMware vCenter, em redes de empresas dos setores jurídico, tecnológico e manufatureiro dos EUA, ao grupo hacker chinês conhecido como Warp Panda.
A CrowdStrike também identificou o uso de implantes inéditos, chamados Junction e GuestConduit, em ambientes VMware ESXi, atribuídos ao mesmo grupo.
O alerta surge logo após um relatório divulgado em setembro pelo Google Threat Intelligence Group (GTIG), que descreveu o uso do Brickstorm por hackers suspeitos de origem chinesa para obter persistência prolongada em redes norte-americanas dos setores jurídico e tecnológico.
O malware foi inicialmente documentado pela Mandiant, subsidiária do Google, em abril de 2024.
Pesquisadores do Google vincularam esses ataques ao cluster malicioso UNC5221, conhecido por explorar vulnerabilidades zero-day no Ivanti para atacar agências governamentais, utilizando malwares customizados como Spawnant e Zipline.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...