استهدفت مجموعة تجسس سيبراني مرتبطة بالصين تُعرف باسم UNC5221 شركات في قطاعات الخدمات القانونية، مزوّدي البرمجيات كخدمة (SaaS)، مقدمي خدمات التعهيد (BPOs)، والقطاع التكنولوجي في الولايات المتحدة، مستخدمة بابًا خلفيًا يُعرف باسم BRICKSTORM. ووفقًا لتقرير مشترك من Mandiant وGoogle Threat Intelligence Group (GTIG)، فإن الحملة تهدف إلى تأمين وصول مستمر داخل الشبكات المستهدفة لأكثر من عام كامل.
أهداف استراتيجية وسرقة ملكية فكرية
أوضحت التقارير أن استهداف مزوّدي SaaS يهدف للوصول إلى بيئات العملاء أو البيانات المستضافة لديهم، بينما يركز استهداف القطاعات القانونية والتكنولوجية الأميركية على جمع معلومات متعلقة بالأمن القومي والتجارة الدولية، إضافة إلى سرقة الملكية الفكرية لدعم تطوير ثغرات Zero-Day جديدة. يُذكر أن BRICKSTORM ارتبط سابقًا باستغلال ثغرات Ivanti Connect Secure في 2023 و2024، كما تم توظيفه ضد بيئات Windows في أوروبا منذ نوفمبر 2022.
قدرات BRICKSTORM ووسائل التسلل
يُكتب BRICKSTORM بلغة Go ويتميز بقدرات متقدمة تشمل تشغيل خادم ويب داخلي، إدارة الملفات والمجلدات، رفع وتنزيل البيانات، تنفيذ أوامر Shell، والعمل كخادم وسيط SOCKS للتخفي في الاتصالات. يتواصل البرمج الخبيث مع خوادم التحكم والسيطرة (C2) عبر WebSockets.
أشارت GTIG إلى أن المجموعة تركز على أجهزة لا تدعم أنظمة EDR التقليدية، ما يقلل من احتمالية رصدها. وقد تمكنت بالفعل من البقاء غير مكتشفة في بيئات ضحاياها بمتوسط 393 يومًا.
وسائل متقدمة للتخفي والانتشار
كشفت Google أن المهاجمين يستخدمون فلتر Java Servlet خبيثًا لخادم Apache Tomcat يُعرف باسم BRICKSTEAL، مهمته سرقة بيانات اعتماد vCenter لتصعيد الامتيازات. ومن خلال ذلك تمكنوا من استنساخ خوادم Windows المهمة مثل Domain Controllers ومزوّدي الهوية (SSO) وخزائن الأسرار.
كما يستغلون بيانات اعتماد صالحة للحركة الجانبية في الشبكات، ويُدخلون تعديلات على ملفات init.d وrc.local وsystemd لضمان تشغيل الباب الخلفي تلقائيًا عند إعادة تشغيل الأجهزة. بعض العينات أظهرت مؤقتات مدمجة تؤخر الاتصال بخوادم C2 لأشهر، ما يمنح المهاجمين قدرة عالية على التخفي والاستمرار.
التهديدات القائمة والتحذيرات الأمنية
الهدف الأساسي للحملة هو الوصول إلى رسائل البريد الإلكتروني الخاصة بمطورين ومسؤولي أنظمة وأشخاص معنيين بملفات حساسة تخدم المصالح الاقتصادية والاستخباراتية للصين. وقد وفّرت Google أداة فحص مخصّصة تعتمد على سكربتات للكشف عن مؤشرات BRICKSTORM في بيئات Linux وBSD.
ووصف خبراء Google وMandiant الحملة بأنها “تهديد كبير بسبب تعقيدها وقدرتها على تجاوز أنظمة الدفاع المتقدمة وتركيزها على أهداف عالية القيمة”. وحثوا المؤسسات على البحث النشط عن BRICKSTORM وغيره من الأبواب الخلفية التي قد تكون كامنة على أنظمة بلا تغطية EDR.
