Staatshackers China gebruiken 'BRICKSTORM' malware voor infiltratie
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Canadian Centre for Cyber Security (Cyber Centre) hebben een gezamenlijke waarschuwing uitgegeven over een nieuwe en geavanceerde dreiging. Ze stellen vast dat cyberactoren gesponsord door de Volksrepubliek China (VRC) de gesofisticeerde BRICKSTORM-malware inzetten voor langdurige persistentie op kritieke systemen, waaronder VMware vCenter and ESXi servers.
Doelwit: Overheid en virtuele infrastructuur
BRICKSTORM is een geavanceerde backdoor die zich richt op zowel Windows-omgevingen als, zeer specifiek, VMware vSphere-platforms (zoals vCenter-servers en ESXI). De slachtoffers zijn voornamelijk organisaties binnen de overheidsdiensten, faciliteiten en de informatietechnologiesector.
Eenmaal in het VMware-platform, stelt de backdoor de Chinese actoren in staat om:
Gekloonde VM-snapshots te stelen om inloggegevens te extraheren.
Verborgen, malafide Virtuele Machines (VM’s) te creëren voor onopgemerkte operaties.
Meer dan een jaar onopgemerkt
Uit analyse van CISA blijkt dat bij ten minste één slachtoffer de Chinese staatshackers sinds april 2024 tot minstens september 2025 persistente toegang hadden via BRICKSTORM. De aanvallers wisten binnen te dringen via een web shell op een webserver, waarna ze lateraal bewogen naar domeincontrollers en een VMware vCenter server. Daar uploadden ze BRICKSTORM en pasten ze een essentieel init-bestand aan om de malware bij elke herstart automatisch uit te voeren.
Zeer stiekeme backdoor
BRICKSTORM is een op maat gemaakte, Go-gebaseerde backdoor met geavanceerde functies:
Persistentie: Het gebruikt een zelfcontrolerende functie (self-watching) om zichzelf automatisch opnieuw te installeren of te herstarten indien onderbroken.
Versleutelde communicatie: De Command and Control (C2) communicatie is zeer stiekem, met gebruik van meerdere versleutelingslagen (HTTPS, WebSockets, geneste TLS) en DNS-over-HTTPS (DoH) om te blenden met legitiem netwerkverkeer.
Proxy-functionaliteit: Sommige varianten fungeren als een SOCKS-proxy, wat laterale beweging en het compromitteren van aanvullende interne systemen vergemakkelijkt.
CISA, NSA en het Cyber Centre dringen er bij organisaties op aan om de meegeleverde Indicators of Compromise (IOCs) en detectiesignaturen te gebruiken om de BRICKSTORM-malware onmiddellijk op te sporen en incidenten onmiddellijk te melden aan de bevoegde autoriteiten.
