Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

Oltre gli endpoint: come BRICKSTORM ha messo in luce i punti deboli della sicurezza

1 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Oltre gli endpoint: come BRICKSTORM ha messo in luce i punti deboli della sicurezza

La backdoor BRICKSTORM di UNC5221 è molto più di un semplice malware. Dimostra che gli avversari più avanzati stanno vincendo nascondendosi in luoghi invisibili ai team SOC. Mandiant ha scoperto che gli aggressori che utilizzavano BRICKSTORM sono rimasti all'interno delle aziende statunitensi per oltre 400 giorni in media prima di essere individuati. Ci sono riusciti sfruttando i punti ciechi delle apparecchiature di rete, delle piattaforme di virtualizzazione e dei sistemi di identità. Questa campagna non consisteva in attacchi violenti e rapidi, ma era basata sulla pazienza, la furtività e la perseveranza all'interno di infrastrutture che la maggior parte degli strumenti di sicurezza ignora.

Elettrodomestici nell'oscurità: dove si nascondeva BRICKSTORM

BRICKSTORM ha avuto successo perché era presente in luoghi che la maggior parte dei team di sicurezza controlla raramente. La backdoor era progettata per funzionare su dispositivi periferici come gateway VPN, firewall e server VMware vCenter. Questi sistemi sono fondamentali per la continuità operativa, ma spesso non dispongono di endpoint e generano log minimi. Questa lacuna nella sicurezza ha creato il nascondiglio perfetto.

Una volta installato, BRICKSTORM si è integrato nei normali processi e ha persino resistito ai riavvii modificando gli script di avvio. Dal punto di vista dell'autore dell'attacco, si tratta di un punto d'appoggio ideale. Dal punto di vista della difesa, è quasi invisibile. I team SOC che monitoravano gli endpoint e cloud non avevano alcun segnale che indicasse che gli avversari stavano operando all'interno dell'infrastruttura che collegava questi sistemi.

Questi punti ciechi davano agli aggressori lo spazio necessario per rimanere nascosti. Ma la furtività non riguardava solo il luogo in cui vivevano, ma anche il modo in cui operavano.

BRICKSTORM targeting. Fonte Google Cloud

Una segretezza durata oltre un anno

Gli operatori di UNC5221hanno creato BRICKSTORM per eludere tutti i metodi di rilevamento tradizionali. Ogni impianto è stato compilato in modo unico per la sua vittima, spesso privato di identificatori e offuscato per sembrare un processo legittimo. Alcune versioni includevano persino una funzione di avvio ritardato, rimanendo inattive per mesi prima di attivarsi. Quando il malware , gli addetti alla risposta agli incidenti avevano già da tempo spostato la loro attenzione altrove.

Questa tecnica spiega il tempo di permanenza sbalorditivo di circa 400 giorni. Gli indicatori di compromissione erano praticamente inutili. Non c'erano domini riutilizzati, hash di file ripetuti e firme su cui fare affidamento. Gli aggressori hanno invece sfruttato le risorse disponibili, utilizzando credenziali valide e strumenti di amministrazione standard per muoversi lateralmente e rubare dati. La loro presenza si è integrata così bene nelle attività di routine che persino i team SOC più esperti non hanno notato i segnali.

La realtà è che questo livello di furtività non può essere individuato con un approccio statico. Per ridurre il tempo di permanenza, il rilevamento deve passare dall'individuazione degli indicatori al monitoraggio del comportamento. Solo individuando sottili anomalie nel funzionamento dell'infrastruttura, degli utenti e dei servizi, i difensori possono colmare il vantaggio di cui godeva BRICKSTORM.

Quando gli elettrodomestici diventano una porta d'accesso all'identità

Per UNC5221, BRICKSTORM non è mai stato l'obiettivo finale. Gli apparecchi compromessi sono serviti da trampolino di lancio per accedere ai sistemi più importanti: l'infrastruttura di identità.

Una volta entrati, gli aggressori hanno clonato interi controller di dominio per estrarre silenziosamente i database Active Directory. Hanno distribuito filtri servlet personalizzati all'interno di VMware vCenter per sottrarre le credenziali amministrative. Negli cloud , hanno registrato applicazioni non autorizzate in Microsoft 365 per leggere le caselle di posta come se fossero servizi legittimi. Ciascuna di queste mosse ha consentito agli aggressori di ottenere un accesso privilegiato senza destare sospetti.

Dal punto di vista di un difensore, sembrava che si trattasse di normali amministratori che effettuavano il login, clonavano macchine o concedevano autorizzazioni cloud . In realtà, si trattava di un lento smantellamento della fiducia al centro dell'azienda.

Questo spostamento dell'attenzione sull'identità è l'aspetto più dannoso della campagna. Una volta che gli avversari controllano i controller di dominio o l'autenticazione SaaS, possono accedere praticamente a qualsiasi risorsa. BRICKSTORM ha rivelato come gli aggressori ora combinino i punti d'appoggio delle appliance con il furto di credenziali per ottenere il dominio sugli ambienti ibridi.

Proteggere solo gli endpoint non è più sufficiente quando l'identità è il premio finale.

Supply Chain oltre l'obiettivo primario

UNC5221 non si limita alle singole imprese. Molte delle organizzazioni compromesse da BRICKSTORM erano fornitori di servizi: piattaforme SaaS, società di outsourcing e servizi legali che detengono dati o forniscono accesso a decine di clienti a valle. Incorporandosi in questi fornitori, gli aggressori si sono posizionati in modo da raggiungere ben oltre una singola rete.

Questa strategia amplifica l'impatto di ogni compromissione. Un punto d'appoggio in un'azienda SaaS potrebbe esporre dati sensibili provenienti da agenzie governative. La violazione di un partner di outsourcing potrebbe aprire la strada a più settori contemporaneamente. Per l'aggressore, è un modo efficiente per espandere la propria portata. Per i difensori, è un promemoria del fatto che la propria posizione di sicurezza è forte solo quanto i partner e i fornitori su cui si fa affidamento.

La campagna BRICKSTORM evidenzia come si sta evolvendo la compromissione della catena di approvvigionamento. Non si tratta sempre di iniettare codice dannoso negli aggiornamenti software. A volte si tratta di prendere di mira il tessuto connettivo dei servizi aziendali e sfruttare i rapporti di fiducia per spostarsi silenziosamente in nuovi ambienti.

Affrontare un avversario di livello superiore

Mandiant ha descritto UNC5221 come un "avversario molto, molto avanzato" e BRICKSTORM lo ha dimostrato. Questi operatori non si sono affidati a malware riutilizzate in diverse campagne. Hanno creato impianti personalizzati, implementato infrastrutture uniche per ogni vittima e smantellato le prove prima che gli addetti alla risposta potessero raccoglierle. Ogni mossa ha dimostrato pazienza e disciplina.

Le difese tradizionali non sono pensate per questo tipo di avversario:

Contro un attore che investe così tanto nella furtività, l'unica risposta realistica è cambiare il modello di rilevamento.

Questo cambiamento significa concentrarsi sul comportamento piuttosto che sugli indicatori. Significa correlare le attività tra reti, identità e cloud per rivelare modelli sottili che nessun singolo strumento è in grado di individuare isolatamente. Qualsiasi approccio meno approfondito lascia delle lacune che un avversario determinato potrà sfruttare per mesi o addirittura anni.

Colmare le lacune con Vectra AI

La campagna BRICKSTORM è stata progettata per confondersi nel rumore di fondo. Ha trasmesso segnali attraverso cloud crittografati, ha incanalato il DNS all'interno dell'HTTPS, ha ruotato con credenziali valide e ha silenziosamente messo in scena i dati per mesi. Questi sono esattamente i tipi di comportamenti che la Vectra AI è stata progettata per rilevare.

Ecco come Vectra AI le lacune sfruttate dagli aggressori:

Comunicazioni esterne ed esfiltrazione

  • Traffico C2 crittografato e fronted: l'analisi avanzata C2 rileva il domain fronting, il beaconing intermittente, cloud insolito di SaaS o cloud e le sessioni C2 crittografate. I modelli analizzano le anomalie nelle intestazioni HTTP, negli user agent, nella rarità delle destinazioni e nella regolarità del beaconing per smascherare i C2 ospitati da worker invisibili, come l'uso di HTTPS e WSS da parte di BRICKSTORM sui cloud .
  • Risoluzione DNS-over-HTTPS: i modelli di rilevamento Hidden HTTPS Tunnel e di apprendimento automatico di Vectra individuano i modelli DoH nascosti nel traffico crittografato. Ciò contrasta direttamente l'uso di DoH da parte di BRICKSTORM per la risoluzione C2 nascosta.
  • Tunneling DNS e protocollo per l'esfiltrazione: se gli aggressori ricorrono al tunneling DNS o all'esfiltrazione dei dati tramite C2, Hidden DNS Tunnel e i rilevamenti mappati ATT&CK di Vectra evidenziano immediatamente i modelli anomali.

Movimento interno e raccolta

  • Movimento laterale e ricognizione: quando BRICKSTORM inoltra il traffico RDP o SMB e ruota con credenziali valide, rilevamenti quali SMB Account Scan e Kerberos Account Scan segnalano l'uso improprio delle credenziali e sondaggi interni sospetti.
  • Messa in scena e raccolta: l'accesso in blocco a repository, codici base o condivisioni di file attiva i rilevamenti di raccolta dati. Ciò mette in luce gli aggressori che preparano il materiale per l'esfiltrazione prima che si verifichi la perdita di dati.

Difesa in profondità

  • Copertura IOC complementare: per una difesa più approfondita, i sensori Vectra possono eseguire regole basate su Suricata (SPA), comprese le firme della comunità come la regola BRICKSTORM C2 di NVISO, per integrare l'analisi basata sul comportamento.

Grazie a questo approccio multilivello, i team SOC non devono più cercare hash o domini univoci. Possono invece osservare i comportamenti che gli avversari più esperti non riescono a nascondere. Vectra AI i rilevamenti su rete, identità, SaaS e cloud, trasformando punti di appoggio invisibili in minacce visibili e riducendo il tempo di permanenza da mesi a pochi istanti.

Conclusione: imparare da BRICKSTORM

BRICKSTORM non è solo un altro backdoor. È un promemoria del fatto che gli avversari più avanzati prosperano nei luoghi non coperti dagli strumenti tradizionali. UNC5221 è sopravvissuto per più di un anno all'interno delle reti aziendali perché operava in punti ciechi, abusava dell'identità e trasferiva i dati attraverso canali che sembravano legittimi.

I difensori non possono fare affidamento su indicatori o firme statiche quando gli aggressori modificano l'infrastruttura con ogni vittima. Ciò che conta è la capacità di rilevare comportamenti che rimangono coerenti in tutte le campagne, indipendentemente da quanto cambi il malware . Questo è esattamente ciò che offre la Vectra AI .

Colmando le lacune di rilevamento nella rete, nelle identità, nel SaaS e cloud, Vectra AI ai team SOC di vedere ciò che altri non vedono e di bloccare le operazioni furtive prima che si trasformino in un altro anno di compromissione.

Scopri come Vectra AI le lacune di rilevamento. Prova oggi stesso la demo autoguidata.

Domande frequenti