Бэкдор-«призрак» в сетях мировых корпораций больше года. Что готовит Китай?

По данным Google Threat Intelligence, связанная с Китаем шпионская группа UNC5221 с марта этого года провела серию успешных вторжений в корпоративные сети, используя неизвестные ранее уязвимости в продуктах Ivanti. В результате атак были внедрены бэкдоры, которые позволяли злоумышленникам незаметно удерживать доступ к инфраструктуре жертв в течение в среднем 393 дней без обнаружения.

Специалисты приписали действия группе UNC5221 и другим близким к ней китайским кибершпионским формированиям. Сама UNC5221, согласно отчету, начала активно эксплуатировать уязвимости в устройствах Ivanti ещё в 2023 году. При этом Google подчёркивает, что данная группа не связана с Silk Typhoon (ранее Hafnium), которую подозревают во взломе Минфина США в декабре.

UNC в классификации Google обозначает "Uncategorized" — то есть не относящуюся ни к финансово мотивированным (FIN), ни к государственным APT-группировкам, хотя происхождение UNC5221 явно указывает на государственную поддержку.

С весны 2025 года эксперты Mandiant реагировали на инциденты, связанные с этой группой, в самых разных сферах: от юридических фирм до поставщиков SaaS и бизнес-аутсорсинговых компаний. В большинстве случаев злоумышленники использовали специально разработанный бэкдор BRICKSTORM, внедряемый в устройства, которые не поддерживают традиционные средства обнаружения (EDR). Это позволяло атакующим сохранять незаметность: системы безопасности организаций просто не фиксировали вредоносную активность.

Чтобы помочь в выявлении заражений, Google опубликовала бесплатный инструмент сканирования, не требующий установки YARA и подходящий для систем на базе Linux и BSD. Он ищет уникальные сигнатуры и шаблоны в коде, характерные для BRICKSTORM. Представители Mandiant подчёркивают, что число заражённых может оказаться значительным, когда организации начнут массово проверять свои устройства: ожидается, что последствия этой кампании будут раскрываться ещё в течение одного-двух лет.

Как минимум в одном случае хакеры получили доступ через нулевой день в Ivanti Connect Secure. Хотя Google не уточняет, о какой именно уязвимости идёт речь, исследователи ранее связывали UNC5221 с активной эксплуатацией CVE‑2023‑46805 и CVE‑2024‑21887 — обе были публично раскрыты только в январе 2024 года.

После проникновения в сеть злоумышленники устанавливали BRICKSTORM — вредонос, написанный на Go и оснащённый прокси-функциональностью (SOCKS). Хотя упоминается версия под Windows, эксперты Mandiant не наблюдали её напрямую: данные о наличии этой модификации носят косвенный характер. Фактически вредонос был найден на Linux и BSD-устройствах, включая сетевые аплайансы от различных производителей.

UNC5221 регулярно атакует серверы VMware vCenter и хосты ESXi, часто начиная с заражения пограничных устройств, а затем с помощью украденных учётных данных перемещаясь вглубь сети. В одной из атак BRICKSTORM был внедрён в vCenter уже после начала расследования инцидента, что указывает на способность противника адаптироваться в реальном времени и следить за действиями защитников. Вредонос также модифицировался: использовались средства обфускации Garble, кастомные библиотеки wssoft, а в одном случае — таймер отсрочки активности до заданной даты.

Кроме того, в ряде случаев хакеры использовали дополнительный вредонос — BRICKSTEAL, представляющий собой вредоносный фильтр Java Servlet для Apache Tomcat, который работает в составе веб-интерфейса vCenter. Он перехватывает заголовки HTTP Basic Auth, извлекая логины и пароли, в том числе доменные учётные данные, если организация использует Active Directory. Обычно установка фильтра требует изменения конфигурации и перезапуска сервера, но в данном случае злоумышленники использовали специальный дроппер, который внедрял код в память без перезапуска, что дополнительно повышает скрытность.

В рамках атак злоумышленники также получали доступ к почтовым ящикам ключевых сотрудников — разработчиков, системных администраторов и других специалистов, чья деятельность может быть интересна с точки зрения китайских экономических или разведывательных интересов. Для этого использовались возможности Microsoft Entra ID Enterprise Applications с правами mail.read или full_access_as_app, позволяющими читать любую почту в организации.

Вывод файлов с атакуемых систем происходил через прокси-механизм самого BRICKSTORM — атакующие создавали туннели и напрямую взаимодействовались с веб-приложениями жертвы. При этом в некоторых инцидентах злоумышленники вручную удаляли образцы вредоносного ПО, и его присутствие удалось выявить только при анализе резервных копий — именно они сохранили следы активности BRICKSTORM.

Mandiant подчёркивает, что группировка не использует повторно домены C2 и даже не дублирует образцы вредоносного ПО, что делает традиционные индикаторы компрометации (IOС) практически бесполезными. Вместо этого компания рекомендует применять поведенческий подход, основанный на TTP (тактиках, техниках и процедурах), и предоставляет подробную 9-тишаговый метод поиска признаков атак.

Организациям советуют обновить инвентаризацию своих устройств, включая пограничные аплайансы, и проанализировать сетевые логи: наличие интернет-соединений с IP-адресов управления, попытки доступа к Windows-системам, подозрительные действия в Microsoft 365 и несанкционированные операции с VMware. В числе признаков атаки также перечислены клонирование виртуальных машин, создание локальных учётных записей, включение SSH на платформе vSphere и запуск неавторизованных ВМ.