Oltre gli endpoint: Come BRICKSTORM ha svelato i punti ciechi della sicurezza

1 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Oltre gli endpoint: Come BRICKSTORM ha svelato i punti ciechi della sicurezza

La backdoor BRICKSTORM di UNC5221 è più di un semplice malware. Dimostra che gli avversari avanzati stanno vincendo nascondendosi nei luoghi che i team SOC non possono vedere. Mandiant ha scoperto che gli aggressori che utilizzano BRICKSTORM hanno vissuto all'interno delle aziende statunitensi per oltre 400 giorni in media prima di essere individuati. Hanno ottenuto questo risultato sfruttando i punti ciechi delle appliance di rete, delle piattaforme di virtualizzazione e dei sistemi di identità. Questa campagna non si basava su attacchi di tipo "smash and grab". Si trattava di pazienza, furtività e persistenza all'interno di infrastrutture che la maggior parte degli strumenti di sicurezza ignora.

Elettrodomestici al buio: dove si nascondeva BRICKSTORM

BRICKSTORM ha avuto successo perché viveva in luoghi che la maggior parte dei team di sicurezza raramente osserva. La backdoor è stata progettata per essere eseguita su dispositivi edge come gateway VPN, firewall e server VMware vCenter. Questi sistemi sono fondamentali per la continuità aziendale, ma spesso non dispongono di agenti endpoint e generano registri minimi. Questa lacuna nella sicurezza ha creato il nascondiglio perfetto.

Una volta installato, BRICKSTORM si mescola ai normali processi e persiste anche durante i riavvii modificando gli script di avvio. Dal punto di vista dell'aggressore, questo è il punto d'appoggio ideale. Dal punto di vista del difensore, è quasi invisibile. I team SOC che monitorano gli endpoint e i carichi di lavoro cloud non avevano alcun segnale che gli avversari stessero operando all'interno dell'infrastruttura che collega questi sistemi.

Questi punti ciechi davano agli aggressori lo spazio necessario per rimanere nascosti. Ma la furtività non riguardava solo il luogo in cui vivevano, ma anche il modo in cui operavano.

Obiettivo BRICKSTORM. Fonte Google Cloud

Un'azione furtiva che è durata più di un anno

Gli operatori di UNC5221hanno costruito BRICKSTORM per evitare ogni metodo di rilevamento tradizionale. Ogni impianto è stato compilato in modo univoco per la sua vittima, spesso privato di identificatori e offuscato per sembrare un processo legittimo. Alcune versioni includevano persino una funzione di avvio ritardato, che rimaneva inattiva per mesi prima di attivarsi. Quando il malware emetteva un segnale acustico, i soccorritori si erano già mossi da tempo.

Questa tecnica spiega lo sconcertante tempo di permanenza di circa 400 giorni. Gli indicatori di compromissione erano praticamente inutili. Non c'erano domini riutilizzati, hash di file ripetuti e firme su cui fare affidamento. Al contrario, gli aggressori vivevano sul territorio, utilizzando credenziali valide e strumenti di amministrazione standard per muoversi lateralmente e rubare dati. La loro presenza si confondeva così bene con le attività di routine che persino i team SOC più esperti non ne coglievano i segnali.

La realtà è che questo livello di furtività non può essere catturato con un approccio statico. Per ridurre il tempo di permanenza, il rilevamento deve passare dalla ricerca di indicatori al monitoraggio del comportamento. Solo individuando sottili anomalie nel funzionamento dell'infrastruttura, degli utenti e dei servizi, i difensori possono ottenere il vantaggio di cui ha goduto BRICKSTORM.

Quando gli apparecchi diventano una porta d'accesso all'identità

Per UNC5221, BRICKSTORM non è mai stato l'obiettivo finale. Le apparecchiature compromesse sono servite come trampolino di lancio verso i sistemi più importanti: l'infrastruttura di identità.

Una volta entrati, gli aggressori hanno clonato interi controller di dominio per estrarre silenziosamente i database di Active Directory. Hanno implementato filtri servlet personalizzati all'interno di VMware vCenter per sottrarre le credenziali di amministrazione. Negli ambienti cloud , hanno registrato applicazioni rogue in Microsoft 365 per leggere le caselle di posta elettronica come se fossero servizi legittimi. Ognuna di queste mosse ha permesso agli aggressori di ottenere un accesso privilegiato senza far scattare l'allarme.

Dal punto di vista di un difensore, sembravano normali amministratori che accedevano, clonavano macchine o concedevano autorizzazioni alle applicazioni cloud . In realtà, si trattava di un lento smantellamento della fiducia nel cuore dell'azienda.

Il passaggio all'identità è la parte più dannosa della campagna. Una volta che gli avversari controllano i controller di dominio o l'autenticazione SaaS, possono accedere praticamente a qualsiasi risorsa. BRICKSTORM ha rivelato come gli aggressori ora combinino i punti di appoggio delle appliance con il furto di credenziali per ottenere il dominio negli ambienti ibridi.

La sola protezione degli endpoint non è più sufficiente quando il premio finale è l'identità.

Impatto Supply Chain al di là dell'obiettivo primario

UNC5221 non si ferma alle singole imprese. Molte delle organizzazioni compromesse da BRICKSTORM erano fornitori di servizi : piattaforme SaaS, società di outsourcing e servizi legali che conservano dati o forniscono accesso a decine di clienti a valle. Inserendosi in questi fornitori, gli aggressori si sono posizionati in modo da raggiungere ben oltre una singola rete.

Questa strategia amplifica l'impatto di ogni compromissione. Una breccia in un'azienda SaaS potrebbe esporre dati sensibili di agenzie governative. La violazione di un partner di outsourcing potrebbe aprire la strada a più settori contemporaneamente. Per l'aggressore è un modo efficiente di espandere il proprio raggio d'azione. Per i difensori, è un modo per ricordare che la vostra sicurezza è forte solo quanto i partner e i fornitori a cui vi affidate.

La campagna BRICKSTORM evidenzia come la compromissione della supply chain si stia evolvendo. Non si tratta sempre di iniettare codice dannoso negli aggiornamenti del software. A volte si tratta di prendere di mira il tessuto connettivo dei servizi aziendali e di sfruttare le relazioni di fiducia per muoversi silenziosamente in nuovi ambienti.

Affrontare un avversario di livello successivo

Mandiant ha descritto UNC5221 come un "avversario molto, molto avanzato" e BRICKSTORM lo ha dimostrato. Questi operatori non si sono affidati a famiglie di malware riutilizzate nelle varie campagne. Hanno costruito impianti personalizzati, hanno implementato infrastrutture uniche per ogni vittima e hanno smantellato le prove prima che i soccorritori potessero raccoglierle. Ogni mossa ha dimostrato pazienza e disciplina.

Le difese tradizionali non sono costruite per questo tipo di avversario:

Contro un attore che investe così tanto nella furtività, l'unica risposta realistica è cambiare il modello di rilevamento.

Questo cambiamento significa concentrarsi sul comportamento piuttosto che sugli indicatori. Significa correlare l'attività tra gli ambienti di rete, identità e cloud per esporre gli schemi più sottili che nessun singolo strumento è in grado di vedere isolatamente. Qualsiasi altro strumento lascia delle lacune che un avversario determinato potrà sfruttare per mesi o addirittura anni.

Colmare le lacune con Vectra AI

La campagna BRICKSTORM è stata progettata per scomparire nel rumore. Ha lanciato segnali attraverso front-end cloud crittografati, tunnel DNS all'interno di HTTPS, ha fatto leva su credenziali valide e ha messo in scena i dati in modo silenzioso per mesi. Questi sono esattamente i tipi di comportamenti che la Vectra AI Platform è stata costruita per far emergere.

Ecco come Vectra AI colma le lacune sfruttate dagli aggressori:

Comunicazioni esterne ed esfiltrazione

  • Traffico C2 criptato e di facciata: L'analisi C2 avanzata rileva il fronting del dominio, il beaconing intermittente, l'uso insolito di SaaS o cloud e le sessioni C2 crittografate. I modelli analizzano le anomalie nelle intestazioni HTTP, negli agenti utente, nella rarità delle destinazioni e nella regolarità del beaconing per smascherare il C2 furtivo ospitato dai lavoratori , come l'uso di HTTPS e WSS da parte di BRICKSTORM sui servizi cloud .
  • Risoluzione DNS-over-HTTPS: Il rilevamento del tunnel HTTPS nascosto e i modelli di apprendimento automatico di Vectra individuano i modelli DoH nascosti nel traffico crittografato. Questo affronta direttamente l'uso di DoH da parte di BRICKSTORM per la risoluzione C2 nascosta.
  • Tunnel DNS e di protocollo per l'esfiltrazione: Se gli aggressori ripiegano sul tunneling DNS o sull'esfiltrazione dei dati tramite C2, i rilevamenti di Vectra Hidden DNS Tunnel e ATT&CK-mapped evidenziano immediatamente gli schemi anomali.

Movimento interno e raccolta

  • Movimento laterale e ricognizione: Quando BRICKSTORM trasmette il traffico RDP o SMB e si sposta con credenziali valide, i rilevamenti come SMB Account Scan e Kerberos Account Scan segnalano l'uso improprio delle credenziali e il sondaggio interno sospetto.
  • Staging e raccolta: L'accesso massiccio a repository, basi di codice o condivisioni di file attiva i rilevamenti di Data Gathering. Ciò consente di individuare gli aggressori che preparano il materiale per l'esfiltrazione prima che si verifichi la perdita di dati.

Difesa in profondità

  • Copertura complementare del CIO: Per un'ulteriore difesa in profondità, i sensori Vectra possono eseguire regole basate su Suricata (SPA), comprese le firme della comunità come la regola BRICKSTORM C2 di NVISO, per integrare le analisi basate sul comportamento.

Con questo approccio a più livelli, i team SOC non devono inseguire hashish o domini unici. Al contrario, possono vedere i comportamenti che gli avversari avanzati non possono nascondere. Vectra AI mette in correlazione i rilevamenti tra rete, identità, SaaS e cloud, trasformando punti di appoggio invisibili in minacce visibili e riducendo il tempo di permanenza da mesi a pochi istanti.

Conclusione: Imparare da BRICKSTORM

BRICKSTORM non è solo un'altra backdoor. Ci ricorda che gli avversari più avanzati prosperano nei luoghi non coperti dagli strumenti tradizionali. UNC5221 è sopravvissuta per più di un anno all'interno delle reti aziendali perché ha operato in punti ciechi, abusando dell'identità e spostando i dati attraverso canali che sembravano legittimi.

I difensori non possono fare affidamento su indicatori o firme statiche quando gli aggressori cambiano infrastruttura con ogni vittima. Ciò che conta è la capacità di rilevare i comportamenti che rimangono coerenti tra le varie campagne, indipendentemente dalla variazione del malware stesso. Questo è esattamente ciò che offre la Vectra AI Platform.

Colmando le lacune di rilevamento in rete, identità, SaaS e cloud, Vectra AI consente ai team SOC di vedere ciò che agli altri sfugge e di bloccare le operazioni furtive prima che diventino un'altra compromissione lunga un anno.

Scoprite come Vectra AI elimina le lacune di rilevamento. Partecipate oggi stesso alla demo autoguidata.

DOMANDE FREQUENTI