BRICKSTORMは、プログラミング言語Goで開発されたバックドアであり、SOCKSプロキシ機能を備える。これにより、攻撃者は感染した機器を踏み台とし、内部ネットワークでの活動を隠蔽する。一部のサンプルでは、数ヶ月先の特定日時まで活動を開始しない「遅延タイマー」や、解析を困難にするための難読化ツール「Garble」の使用が確認されており、巧妙な検知回避技術が用いられている。
攻撃者はC2(コマンド&コントロール)サーバーのインフラとして、Cloudflare WorkersやHerokuといった正規のクラウドサービスや、sslip.io、nip.ioなどのDNSサービスを悪用する事例が報告されている。また、VMware vCenterなどの仮想化管理基盤の脆弱性を悪用したり、Apache Tomcatサーバー上で認証情報を窃取する「BRICKSTEAL」と呼ばれる悪意のあるJava Servletフィルターを配置したりするなど、多様な戦術を組み合わせている。
BRICKSTORMは当初、Linuxベースのアプライアンスで確認されたが、後にはWindows版のバリアントも発見されており、攻撃対象の広さがうかがえる。
From: 
Chinese APT Drops ‘Brickstorm’ Backdoor on Edge Devices
【編集部解説】
今回のBRICKSTORMキャンペーンは、サイバーセキュリティにおける防御戦略の転換を迫るものです。
1. EDRが及ばない領域への攻撃
攻撃者は、PCやサーバーではなく、ファイアウォールやVPN機器といった、EDRが導入されにくいネットワークエッジ機器に焦点を当てています。これらの機器は組織の防御の要であり、一度侵害されると攻撃者にとって理想的な潜伏場所となります。
2. 長期潜伏による持続的な諜報活動
平均約393日という潜伏期間は、この攻撃が単発的な情報窃取ではなく、長期的な諜報活動を目的としていることを示唆しています。攻撃者は時間をかけて内部環境を調査し、目的の情報を継続的に窃取します。
3. サプライチェーン攻撃への発展リスク
SaaSプロバイダーやBPO企業が標的となることで、その顧客企業にまで被害が及ぶ「サプライチェーン攻撃」のリスクが高まります。一つの侵害が、多数の関連企業への攻撃の足がかりとなる潜在的な危険性をはらんでいます。
この攻撃は、従来のエンドポイント中心のセキュリティ対策だけでは不十分であり、ネットワークインフラ全体を包括的に監視し、エッジデバイスの脆弱性管理や異常検知を強化する必要性を明確に示しています。
【用語解説】
APT(Advanced Persistent Threat)
高度で持続的な脅威を意味するサイバー攻撃の一種。国家レベルの支援を受けた攻撃者が、長期間にわたって標的組織に潜伏し、継続的な情報窃取を行う攻撃手法である。
EDR(Endpoint Detection and Response)
エンドポイント検知・対応システムの略称。コンピューターやサーバーなどの端末で発生する不審な活動を監視・検知し、脅威に対応するセキュリティソリューションである。
SOCKSプロキシ
ネットワーク通信を中継するプロキシプロトコルの一種。攻撃者がこの機能を悪用することで、感染した機器を踏み台にして他のシステムへのアクセスを隠蔽できる。
C2サーバー(Command and Control)
マルウェアが攻撃者からの指令を受信し、盗取したデータを送信するために使用する指令統制サーバーである。
Go言語
Googleが開発したプログラミング言語。様々なOS上で動作するクロスプラットフォーム対応が特徴で、マルウェア開発者にも好まれる。
Garble
Go言語で書かれたプログラムのコードを難読化するオープンソースツール。マルウェアの解析を困難にするために使用される。
【参考リンク】
Microsoft Entra ID(旧Azure AD)(外部)
マイクロソフトが提供するクラウドベースのIDおよびアクセス管理サービス
VMware vCenter(外部)
VMwareが提供する仮想化インフラの統合管理プラットフォーム
Cloudflare Workers(外部)
Cloudflareが提供するサーバーレスコンピューティングプラットフォーム
【参考記事】
Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors(外部)
GoogleのGTIGが発表した公式レポート。393日間の滞留期間の詳細を記載
BRICKSTORM Malware: UNC5221 Targets Tech and Legal Sectors in the United States(外部)
Picus Securityによる詳細な技術分析とBrickstormマルウェアの機能解説
UNC5221 Uses BRICKSTORM Backdoor to Infiltrate U.S. Organizations for Over a Year(外部)
1年以上にわたる侵入活動とSaaSプロバイダー経由での下流攻撃について報告
Chinese Hackers Use ‘BRICKSTORM’ Backdoor to Breach US Companies(外部)
攻撃者の戦術・技術・手順(TTP)と企業への影響について詳しく説明
【編集部後記】
今回のBrickstormキャンペーンは、私たち一人一人にとって決して遠い話ではありません。攻撃者が狙うSaaSサービスやBPO企業は、私たちが日常業務で使うクラウドサービスの提供元かもしれません。皆さんが利用している企業向けサービスのセキュリティ対策は十分でしょうか?
また、この事件は「見えないところで進行する脅威」の恐ろしさを改めて浮き彫りにしています。393日間という長期潜伏が可能な攻撃手法について、どのような対策が有効だと思われますか?特にネットワーク機器への攻撃という視点で、従来のセキュリティの常識がどう変わっていく必要があるか、皆さんのご意見をお聞かせください。サイバーセキュリティの未来について、一緒に考えてみませんか。
