🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de espionagem chinês rastreado como UNC5221 tem acessado ambientes Microsoft 365 usando o backdoor Brickstorm e malware anteriormente não documentado chamado Plenet e AgentPSD.
Uma investigação sobre o incidente revelou que o autor da ameaça obteve acesso à rede da vítima pelo menos 18 meses antes da detecção e também comprometeu o provedor de serviços gerenciados (MSP) da organização vítima.
UNC5221 também é rastreado como VerdantBamboo e esteve envolvido em ataques que exploraram vulnerabilidades de dia zero em dispositivos de ponta desde pelo menos 2023.
O ator da ameaça usou o backdoor Brickstorm sem ser detectado nos ambientes de vários alvos nos Estados Unidos por mais de um ano, até que as violações foram descobertas por volta de março de 2025.
Os pesquisadores descrevem o Brickstorm como “um implante de malware avançado”. As variantes iniciais foram escritas em Golang, depois surgiram novas variantes, escritas em Rust.
Em abril de 2024, o Google documentou a atividade UNC5221 usando backdoor e, novamente, em setembro de 2025, descrevendo ataques contra serviços jurídicos, provedores de software como serviço, terceirizadores de processos de negócios e empresas de tecnologia.
A CISA alertou sobre a implantação do Brickstorm por hackers chineses contra servidores VMware vSphere e, mais recentemente, o Google informou que foi implantado pelo UNC6201 contra o Dell RecoverPoint for Virtual Machines.
Vítima foi hackeada duas vezes
Os pesquisadores da Volexity que responderam a um incidente no ano passado descobriram que o VerdantBamboo comprometeu um sistema Egnyte Storage Sync e o acessou periodicamente por meio da VPN SSL da web da vítima.
A partir dessa posição e usando recursos de proxy do Brickstorm e credenciais roubadas, o agente da ameaça acessou o ambiente Microsoft 365 da organização.
“A Volexity avalia com grande confiança que isso foi feito para se misturar ao tráfego de rede legítimo e evitar políticas de acesso condicional que, de outra forma, teriam impedido o acesso”, disseram os pesquisadores.
Mais tarde, a Volexity descobriu que os hackers passaram pelo menos 18 meses na rede antes de serem detectados. Além disso, o VerdantBamboo violou a organização novamente depois que os pesquisadores concluíram os esforços de remediação.
Na segunda intrusão, os atacantes usaram credenciais roubadas para ativar e configurar o acesso SSL VPN no firewall da vítima, depois conectaram-se a sistemas internos e implantaram malware personalizado adicional em um dispositivo Synology NAS.
Isso desencadeou uma investigação no MSP do cliente, onde a Volexity descobriu que o VerdantBamboo havia plantado uma variante BSD do Brickstorm em um firewall pfSense.
“A Volexity concluiu que esse firewall, assim como o sistema Storage Sync da organização vítima, também havia sido comprometido pelo menos 18 meses antes.”
Os pesquisadores têm confiança média de que o invasor passou do MSP para o ambiente da organização vítima.
O Brickstorm foi então implantado no dispositivo Egnyte Storage Sync da vítima e em um servidor de arquivamento de e-mail Linux GroupWise aposentado.
Novos backdoors usados
Depois que os invasores retornaram, alguns dias depois, e restabeleceram o acesso à infraestrutura da vítima, eles implantaram o malware Plenet personalizado em um dispositivo Synology NAS.
Plenet, também rastreado como “Grimbolt” pelo Google, é um backdoor multiplataforma baseado em .NET que oferece acesso interativo ao shell, execução remota de comandos, manipulação de arquivos e comutação de servidor de comando e controle (C2).
Os pesquisadores observam que o Plenet é semelhante em design ao Brockstorm, usando o protocolo WebSocket para comunicações C2 e uma biblioteca de multiplexação para fluxos de dados simultâneos para o servidor.
AgentPSD é um utilitário simples de shell reverso baseado em Python que a Volexity acredita que VerdantBamboo usou como um mecanismo de persistência de fallback se outro malware não estivesse mais acessível.
Os pesquisadores descobriram que o AgentPSD foi configurado para se conectar a um domínio diferente daquele usado pelo Brickstorm. No entanto, o malware nunca foi usado porque o Brickstorm ainda estava em execução, o que apoia a avaliação de que o AgentPSD era um mecanismo de acesso secundário.
Durante a investigação, a Volexity tentou descobrir a infraestrutura relacionada ao VerdantBamboo. Os pesquisadores criaram uma impressão digital para identificar endereços IP e domínios que o Brickstorm usou para comunicação C2.
Embora várias máquinas tenham sido identificadas, o agente da ameaça desligou a infraestrutura antes que os pesquisadores pudessem revelar outros sistemas.
“Entre 18 e 23 de setembro, todos os servidores que anteriormente correspondiam a esse padrão desligaram seus serviços na porta 443.”
Naquela época, o Google também publicou um novo relatório sobre a atividade do Brickstorm, que pode sugerir que o invasor estava ciente de que suas operações estavam sob investigação.
A Volexity descreve VerdantBamboo/UNC5221 como “um ator de ameaça altamente sofisticado” que mistura técnicas de vida fora da terra e malware e tem como alvo sistemas que
Uma investigação sobre o incidente revelou que o autor da ameaça obteve acesso à rede da vítima pelo menos 18 meses antes da detecção e também comprometeu o provedor de serviços gerenciados (MSP) da organização vítima.
UNC5221 também é rastreado como VerdantBamboo e esteve envolvido em ataques que exploraram vulnerabilidades de dia zero em dispositivos de ponta desde pelo menos 2023.
O ator da ameaça usou o backdoor Brickstorm sem ser detectado nos ambientes de vários alvos nos Estados Unidos por mais de um ano, até que as violações foram descobertas por volta de março de 2025.
Os pesquisadores descrevem o Brickstorm como “um implante de malware avançado”. As variantes iniciais foram escritas em Golang, depois surgiram novas variantes, escritas em Rust.
Em abril de 2024, o Google documentou a atividade UNC5221 usando backdoor e, novamente, em setembro de 2025, descrevendo ataques contra serviços jurídicos, provedores de software como serviço, terceirizadores de processos de negócios e empresas de tecnologia.
A CISA alertou sobre a implantação do Brickstorm por hackers chineses contra servidores VMware vSphere e, mais recentemente, o Google informou que foi implantado pelo UNC6201 contra o Dell RecoverPoint for Virtual Machines.
Vítima foi hackeada duas vezes
Os pesquisadores da Volexity que responderam a um incidente no ano passado descobriram que o VerdantBamboo comprometeu um sistema Egnyte Storage Sync e o acessou periodicamente por meio da VPN SSL da web da vítima.
A partir dessa posição e usando recursos de proxy do Brickstorm e credenciais roubadas, o agente da ameaça acessou o ambiente Microsoft 365 da organização.
“A Volexity avalia com grande confiança que isso foi feito para se misturar ao tráfego de rede legítimo e evitar políticas de acesso condicional que, de outra forma, teriam impedido o acesso”, disseram os pesquisadores.
Mais tarde, a Volexity descobriu que os hackers passaram pelo menos 18 meses na rede antes de serem detectados. Além disso, o VerdantBamboo violou a organização novamente depois que os pesquisadores concluíram os esforços de remediação.
Na segunda intrusão, os atacantes usaram credenciais roubadas para ativar e configurar o acesso SSL VPN no firewall da vítima, depois conectaram-se a sistemas internos e implantaram malware personalizado adicional em um dispositivo Synology NAS.
Isso desencadeou uma investigação no MSP do cliente, onde a Volexity descobriu que o VerdantBamboo havia plantado uma variante BSD do Brickstorm em um firewall pfSense.
“A Volexity concluiu que esse firewall, assim como o sistema Storage Sync da organização vítima, também havia sido comprometido pelo menos 18 meses antes.”
Os pesquisadores têm confiança média de que o invasor passou do MSP para o ambiente da organização vítima.
O Brickstorm foi então implantado no dispositivo Egnyte Storage Sync da vítima e em um servidor de arquivamento de e-mail Linux GroupWise aposentado.
Novos backdoors usados
Depois que os invasores retornaram, alguns dias depois, e restabeleceram o acesso à infraestrutura da vítima, eles implantaram o malware Plenet personalizado em um dispositivo Synology NAS.
Plenet, também rastreado como “Grimbolt” pelo Google, é um backdoor multiplataforma baseado em .NET que oferece acesso interativo ao shell, execução remota de comandos, manipulação de arquivos e comutação de servidor de comando e controle (C2).
Os pesquisadores observam que o Plenet é semelhante em design ao Brockstorm, usando o protocolo WebSocket para comunicações C2 e uma biblioteca de multiplexação para fluxos de dados simultâneos para o servidor.
AgentPSD é um utilitário simples de shell reverso baseado em Python que a Volexity acredita que VerdantBamboo usou como um mecanismo de persistência de fallback se outro malware não estivesse mais acessível.
Os pesquisadores descobriram que o AgentPSD foi configurado para se conectar a um domínio diferente daquele usado pelo Brickstorm. No entanto, o malware nunca foi usado porque o Brickstorm ainda estava em execução, o que apoia a avaliação de que o AgentPSD era um mecanismo de acesso secundário.
Durante a investigação, a Volexity tentou descobrir a infraestrutura relacionada ao VerdantBamboo. Os pesquisadores criaram uma impressão digital para identificar endereços IP e domínios que o Brickstorm usou para comunicação C2.
Embora várias máquinas tenham sido identificadas, o agente da ameaça desligou a infraestrutura antes que os pesquisadores pudessem revelar outros sistemas.
“Entre 18 e 23 de setembro, todos os servidores que anteriormente correspondiam a esse padrão desligaram seus serviços na porta 443.”
Naquela época, o Google também publicou um novo relatório sobre a atividade do Brickstorm, que pode sugerir que o invasor estava ciente de que suas operações estavam sob investigação.
A Volexity descreve VerdantBamboo/UNC5221 como “um ator de ameaça altamente sofisticado” que mistura técnicas de vida fora da terra e malware e tem como alvo sistemas que
#samirnews #samir #news #boletimtec #apt #chinês #implanta #novo #malware #para #manter #o #acesso #a #redes #hackeadas
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário