Google Threat Intelligence Group (GTIG) mengungkap bahwa kelompok peretas yang diduga berasal dari Tiongkok menggunakan malware Brickstorm dalam operasi spionase jangka panjang terhadap organisasi di sektor teknologi dan hukum di Amerika Serikat.
Operasi Spionase Berkepanjangan
- Brickstorm pertama kali terdokumentasi pada April 2024.
- Malware berbasis Go ini berfungsi sebagai web server, alat manipulasi file, dropper, SOCKS relay, dan eksekusi perintah shell.
- Rata-rata, malware ini bertahan hingga 393 hari dalam jaringan korban sebelum terdeteksi.
Target utama meliputi:
- Perusahaan teknologi
- Firma hukum
- Penyedia SaaS (Software-as-a-Service)
- Business Process Outsourcers (BPOs)
Taktik dan Teknik yang Digunakan
Kelompok yang terhubung dengan UNC5221 ini dikenal mengeksploitasi zero-day Ivanti dan menyebarkan malware khusus seperti Spawnant dan Zipline.
Dalam serangan Brickstorm, metode yang digunakan antara lain:
- Eksploitasi perangkat edge yang tidak mendukung EDR (misalnya VMware vCenter/ESXi).
- Penyamaran komunikasi sebagai lalu lintas sah (Cloudflare, Heroku).
- Pemasangan Java Servlet Filter berbahaya (Bricksteal) pada vCenter untuk mencuri kredensial.
- Kloning VM Windows Server untuk ekstraksi rahasia.
- Aktivasi SSH di ESXi dan modifikasi script init.d/systemd untuk persistensi.
- Eksfiltrasi email melalui Microsoft Entra ID Enterprise Apps dengan tunneling SOCKS ke sistem internal.
Fokus Serangan
Menurut Google, UNC5221 menargetkan developer, administrator, serta individu yang berkaitan dengan kepentingan ekonomi dan keamanan Tiongkok. Setelah operasi selesai, malware biasanya dihapus untuk menyulitkan analisis forensik. Selain itu, pelaku tidak pernah menggunakan C2 domain atau sampel malware yang sama dua kali, menambah kesulitan deteksi.
Alat Deteksi
Untuk membantu pertahanan, Mandiant merilis skrip pemindai gratis yang menggunakan aturan YARA untuk mendeteksi Brickstorm, Bricksteal, dan Slaystyle pada perangkat Linux dan BSD. Namun, Mandiant menegaskan bahwa:
- Skrip mungkin tidak mendeteksi semua varian Brickstorm.
- Tidak menjamin 100% deteksi kompromi.
- Tidak mencari mekanisme persistensi atau perangkat rentan.
Kesimpulan
Kasus Brickstorm menyoroti bagaimana peretas mampu memanfaatkan kelemahan di perangkat edge untuk melakukan spionase siber jangka panjang, dengan tujuan utama mencuri email, kode, dan data sensitif organisasi strategis di AS.
Sumber: Google Threat Intelligence Group