brickstorm - RunkIntel

# BRICKSTORM > [!danger] Resumo > Backdoor sofisticado baseado em Golang, implantado por atores China-nexus (UNC6201/[[unc5221|UNC5221]]) para espionagem de longo prazo em appliances de rede, com exploração de zero-days em Dell RecoverPoint e Ivanti como vetores de acesso. ## Visão Geral O [[brickstorm|BRICKSTORM]] é um backdoor multiplataforma desenvolvido em Go, projetado para persistência de longo prazo em appliances de infraestrutura (vCenter, ESXi, Ivanti, F5, Dell RecoverPoint). Atribuído ao grupo China-nexus UNC6201 (com sobreposição ao [[unc5221|UNC5221]]/Silk Typhoon), o malware foi identificado pela primeira vez em meados de 2024. Em janeiro de 2026, a CISA adicionou as vulnerabilidades exploradas pelo BRICKSTORM ao catálogo KEV, citando evidências de exploração ativa. A Mandiant/Google Cloud e a NVISO públicaram análises técnicas detalhadas revelando que o backdoor opera em memória, mimetiza processos legítimos e utiliza comunicação C2 multicamada com criptografia aninhada. Uma variante mais recente, **GRIMBOLT** (C# AOT-compiled), substitui o BRICKSTORM em alguns ambientes para maior stealth e resistência a análise. ## Capacidades Técnicas - **Shell interativo**: Execução arbitrária de comandos no sistema comprometido - **Operações de arquivo**: Navegar, upload, download, criar, deletar, renomear, fatiar e verificar checksums de arquivos/diretórios - **SOCKS proxy**: Proxy para movimentação lateral, pivotando para vCenters, repositórios de código e file shares internos - **Túnel de rede**: Multiplexação de múltiplos streams de comandos por uma única conexão - **Auto-monitoramento**: Reinstala e reinicia automaticamente se interrompido (ausente em variantes .NET) - **Operação em memória**: Executa sem tocar o disco, mimetizando processos legítimos - **C2 multicamada**: HTTPS, WebSockets, TLS aninhado (dupla criptografia com RSA 2.048 bits), DNS-over-HTTPS (DoH) ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | Zero-days em Dell RecoverPoint (CVE-2026-22769), Ivanti | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Binários Go per-victim, strings stripped, execução em memória | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTPS/WebSockets mimetizando tráfego web legítimo | | Persistência | [[t1505-003-web-shell\|T1505.003]] | Deploy via web shells (SLAYSTYLE) em Tomcat | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados tunelados via SOCKS proxy para repositórios internos | | Acesso a Credenciais | [[t1003-003-ntds\|T1003.003]] | Acesso a bases Active Directory | | Evasão | [[t1562-004-disable-or-modify-system-firewall\|T1562.004]] | Modificação de regras de firewall pós-comprometimento | | Escalação | [[t1068-exploitation-for-privilege-escalation\|T1068]] | Exploração de vulnerabilidades para escalação de privilégios | ## Cadeia de Infecção 1. **Acesso inicial**: Exploração de zero-day em appliance de perímetro (Dell RecoverPoint CVE-2026-22769, Ivanti CVEs) ou credenciais comprometidas 2. **Web shell**: Implantação de web shell SLAYSTYLE em servidor Tomcat da appliance 3. **Backdoor deployment**: Download e execução do BRICKSTORM em memória 4. **Persistência**: Modificação de scripts de boot (`convert_hosts.sh` via `rc.local` no Dell RecoverPoint); auto-restart 5. **Reconhecimento**: Habilitação de SSH, clonagem de VMs, acesso a Active Directory 6. **Movimentação lateral**: SOCKS proxy para vCenters, domain controllers, file shares via SMB/RDP 7. **Exfiltração**: Dados tunelados via canal C2 criptografado (DoH para resolução de IPs) ## Atores Associados | Ator | Nexo | Descrição | |------|------|-----------| | [[unc5221\|UNC5221]] | China | Grupo de espionagem com foco em appliances de perímetro (Silk Typhoon) | | UNC6201 | China | Cluster operacional que explora Dell RecoverPoint | Ambos os grupos focam em espionagem contra alvos de alto valor nos EUA e Europa. ## Setores e Alvos - **Setores**: Serviços jurídicos, tecnologia, provedores SaaS, outsourcing de processos de negócios, setor público, infraestrutura crítica - **Alvos**: Appliances de virtualização (VMware vCenter/ESXi), appliances de rede (Ivanti, F5), appliances de backup (Dell RecoverPoint) - **Regiões**: EUA e Europa ## Indicadores de Comprometimento (IoCs) O BRICKSTORM utiliza infraestrutura dinâmica sem reutilização de domínios entre vítimas: - **Hosts C2**: Cloudflare Workers, Heroku apps, DNS dinâmico (sslip.io, nip.io) - **Comúnicação**: HTTPS com WebSockets, TLS aninhado, DoH para resolução - **Persistência**: Modificações em `rc.local` e `convert_hosts.sh` - **Variante**: GRIMBOLT (C#, AOT-compiled) como substituto em ambientes recentes Consulte relatórios CISA AR25-338A e Mandiant para IoCs específicos por campanha. ## Referências - [Google Cloud/Mandiant - UNC6201 Exploiting Dell RecoverPoint Zero-Day](https://cloud.google.com/blog/topics/threat-intelligence/unc6201-exploiting-dell-recoverpoint-zero-day) - [Google Cloud/Mandiant - BRICKSTORM Espionage Campaign](https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign) - [NVISO - BRICKSTORM Espionage Backdoor Analysis](https://www.nviso.eu/blog/nviso-analyzes-brickstorm-espionage-backdoor) - [CISA - BRICKSTORM Malware Report (Updated)](https://industrialcyber.co/ransomware/cisa-updates-brickstorm-malware-report-with-new-net-compiled-variant-and-expanded-detection-guidance/)