Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan pembela jaringan mengenai peretas Tiongkok yang melakukan pintu belakang pada server VMware vSphere dengan malware Brickstorm.
Di sebuah laporan analisis malware bersama bekerja sama dengan Badan Keamanan Nasional (NSA) dan Pusat Keamanan Siber Kanada, CISA mengatakan pihaknya menganalisis delapan sampel malware Brickstorm.
Sampel ini ditemukan di jaringan milik organisasi korban, di mana penyerang secara khusus menargetkan server VMware vSphere untuk membuat mesin virtual jahat yang tersembunyi guna menghindari deteksi dan mencuri snapshot mesin virtual yang dikloning untuk pencurian kredensial lebih lanjut.
Seperti disebutkan dalam saran tersebut, Brickstorm menggunakan enkripsi berlapis-lapis, termasuk HTTPS, WebSockets, dan TLS bersarang untuk mengamankan saluran komunikasi, proxy SOCKS untuk terowongan dan pergerakan lateral dalam jaringan yang disusupi, dan DNS-over-HTTPS (DoH) untuk penyembunyian tambahan. Untuk menjaga persistensi, Brickstorm juga menyertakan fungsi pemantauan mandiri yang secara otomatis menginstal ulang atau memulai ulang malware jika terganggu.
Saat menyelidiki salah satu insiden tersebut, CISA menemukan bahwa peretas Tiongkok menyusupi server web di zona demiliterisasi (DMZ) suatu organisasi pada bulan April 2024, kemudian berpindah secara lateral ke server internal VMware vCenter dan menyebarkan malware.
Para penyerang juga meretas dua pengontrol domain di jaringan korban dan mengekspor kunci kriptografi setelah menyusupi server Active Directory Federation Services (ADFS). Implan Brickstorm memungkinkan mereka mempertahankan akses ke sistem yang dibobol setidaknya dari April 2024 hingga September 2025.
Setelah mendapatkan akses sistem, mereka juga diamati menangkap informasi database Direktori Aktif dan melakukan pencadangan sistem untuk mencuri kredensial sah dan data sensitif lainnya.
Untuk mendeteksi kehadiran penyerang di jaringan mereka dan memblokir potensi serangan, CISA menyarankan para pembela HAM (terutama mereka yang bekerja untuk infrastruktur penting dan organisasi pemerintah) untuk memindai aktivitas pintu belakang Brickstorm menggunakan aturan YARA dan Sigma yang dibuat oleh lembaga tersebut, dan memblokir penyedia DNS-over-HTTPS dan lalu lintas eksternal yang tidak sah.
Mereka juga harus melakukan inventarisasi semua perangkat tepi jaringan untuk memantau aktivitas mencurigakan dan melakukan segmentasi jaringan untuk membatasi lalu lintas dari zona demiliterisasi ke jaringan internal.
“CISA, NSA, dan Cyber Center mendesak organisasi untuk menggunakan indikator kompromi (IOCs) dan tanda tangan deteksi dalam Laporan Analisis Malware ini untuk mengidentifikasi sampel malware BRICKSTORM,” desak penasihat bersama tersebut. “Jika BRICKSTORM, malware serupa, atau aktivitas yang berpotensi terkait terdeteksi, CISA dan NSA mendesak organisasi untuk melaporkan aktivitas tersebut sebagaimana diwajibkan oleh hukum dan kebijakan yang berlaku.”
Saat ini, perusahaan keamanan siber CrowdStrike juga demikian terkait serangan malware Brickstorm menargetkan server VMware vCenter di jaringan perusahaan hukum, teknologi, dan manufaktur AS sepanjang tahun 2025 ke kelompok peretas Tiongkok yang dilacak sebagai Warp Panda. CrowdStrike mengamati kelompok ancaman yang sama menyebarkan implan malware Junction dan GuestConduit yang sebelumnya tidak diketahui di lingkungan VMware ESXi.
Konsultasi bersama ini dilakukan setelah a Laporan Grup Intelijen Ancaman Google (GTIG). diterbitkan pada bulan September yang menggambarkan bagaimana tersangka peretas Tiongkok menggunakan malware Brickstorm (pertama kali didokumentasikan oleh anak perusahaan Google, Mandiant pada bulan April 2024) untuk mendapatkan persistensi jangka panjang di jaringan berbagai organisasi AS di sektor teknologi dan hukum.
Peneliti keamanan Google menghubungkan serangan ini dengan cluster aktivitas berbahaya UNC5221, yang dikenal mengeksploitasi zero-day Ivanti untuk sasaran lembaga pemerintah dengan adat Memandulkan Dan garis zip perangkat lunak perusak.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
