中國駭客鎖定網路邊緣設備盲點，Brickstorm後門長期潛伏美企

Google威脅情報團隊（GTIG）最新研究報告顯示，與中國有關聯的網路間諜組織UNC5221正系統性地利用無法部署傳統端點偵測與回應（EDR）工具的網路設備進行攻擊，並部署名為「Brickstorm」的精密後門程式，成功在受害組織網路中潛伏超過一年時間。

攻擊目標與規模

這波攻擊行動主要鎖定美國的法律事務所、科技公司、軟體即服務（SaaS）供應商以及業務流程外包公司。攻擊者特別關注那些系統能夠提供下游客戶存取權限的組織，GTIG研究人員已觀察到SaaS供應商遭入侵後，攻擊者進一步取得其客戶系統的存取權限。

雖然Google未透露受害者的具體數量或詳細資訊，但強調這些攻擊的影響範圍相當廣泛。

根據GTIG統計，該威脅組織在受害網路中的平均潛伏時間達到393天才被發現，這種超長的停留時間往往已超過大多數組織的日誌保存期限，使得初始入侵的痕跡難以追溯。

Brickstorm後門程式採用多種隱蔽技術來規避偵測。該惡意軟體會偽裝成合法軟體，並為每個受害者使用獨特的指揮控制（C2）伺服器，使得偵測和阻斷變得極其困難。攻擊者還會濫用具有高權限的Microsoft Entra ID企業應用程式，存取開發人員、系統管理員以及對中國具有戰略價值人員的電子郵件。

相關文章：Microsoft Entra ID重大漏洞曝光 駭客可劫持全球企業租戶

邊緣設備成為攻擊跳板

UNC5221特別針對網路邊緣的基礎設施設備進行攻擊，包括防火牆、VPN、入侵偵測系統（IDS/IPS）等設備。這些設備通常基於Linux或BSD系統，由於設計上的安全考量而被鎖定，使得防護人員無法在其上部署標準的端點偵測工具，形成了攻擊者可以利用的盲點。

雖然GTIG研究人員無法確定UNC5221的初始存取方式，但現有遙測資料顯示，攻擊者利用了已知漏洞和零日漏洞來取得多家製造商周邊設備和遠端存取設備的立足點。特別值得注意的是，UNC5221持續鎖定VMware vCenter和ESXi主機，在多個案例中，威脅行為者會先在網路設備上部署Brickstorm，然後再轉向攻擊VMware系統。

Brickstorm後門技術解析

Brickstorm是一個使用Go語言編寫的跨平台後門程式，支援SOCKS代理功能，能夠將受感染設備轉變為中繼點，讓攻擊者可以透過它來路由流量並深入網路內部，同時掩蓋其真實來源。

在最新的攻擊活動中，UNC5221使用的Brickstorm樣本相較於Google先前分析的版本有顯著改進。其中最重要的改變是引入了「延遲」計時器機制，確保惡意軟體在受感染系統上保持休眠狀態，直到數個月後的硬編碼日期才開始活動。

GTIG還發現威脅行為者使用開源工具Garble進行程式碼混淆，以隱藏較新Brickstorm樣本中的函數名稱、結構和邏輯。部分樣本還包含了自訂程式庫的新版本，顯示UNC5221正在持續開發這個惡意軟體。

為了保持隱蔽性，Brickstorm會透過Cloudflare Workers或Heroku等熱門雲端服務運行C2伺服器，或使用sslip.io或nip.io等動態網域直接指向C2伺服器的IP位址。更重要的是，每個受害者都會獲得專屬的C2網域，使得防護人員更難以追蹤和封鎖這些通訊管道。

攻擊手法與持續性機制

UNC5221的典型戰術技術程序包括收集和使用有效的高權限憑證，使其活動看起來像是例行的管理員任務。他們還會部署記憶體內的servlet過濾器、移除安裝程式痕跡，並嵌入延遲啟動邏輯以限制鑑識痕跡。

其他需要組織留意的UNC5221戰術包括：濫用虛擬化管理功能（如複製虛擬機器以離線提取憑證存儲）、在vCenter上部署記憶體內Java Servlet過濾器來攔截和解碼網路身份驗證以收集高權限憑證，以及在受損設備上使用SOCKS代理等。

攻擊生命週期分析

根據Google的分析，UNC5221的完整攻擊鏈包含以下階段：

• 初始存取：利用零日漏洞進行攻擊 建立立足點：在不支援傳統EDR工具的設備上部署Brickstorm（如VMware vCenter和ESXi主機）
• 權限提升：注入記憶體內Servlet過濾器、透過HTTP基本認證收集憑證、繞過多因素驗證保護、複製關鍵伺服器的虛擬機器、鎖定Delinea Secret Server、執行自動化秘密竊取工具 橫向移動：重複使用從保險庫和腳本中獲得的憑證
• 建立持續性：修改init.d、rc.local或systemd檔案以確保Brickstorm在設備重啟時自動啟動
• 完成任務：利用具有mail.read或full_access_as_app權限的Microsoft Entra ID企業應用程式存取目標帳戶的電子郵件信箱

Windows版本Brickstorm現蹤

2025年4月，歐洲網路安全公司NVISO發現了兩個針對Windows環境的新Brickstorm樣本。NVISO表示，這些樣本自2022年以來就被用於監視歐洲組織。雖然Google承認了NVISO的報告，但表示迄今為止尚未在任何調查中觀察到以Windows為重點的Brickstorm變體。

Keeper Security資訊安全長Shane Barney表示，Brickstorm攻擊活動凸顯了攻擊者正在轉向那些往往不在傳統監控範圍內的系統，如邊緣設備和虛擬化平台。當對手能夠潛伏超過一年而不被發現時，這突顯了在整個基礎設施中保持可見性和嚴格風險管理的重要性。

對於安全主管而言，重點應該放在將這些設備視為關鍵資產上，包括維護最新的設備清單、限制不必要的網際網路存取，以及確保日誌流入集中監控系統。

為協助組織偵測Brickstorm威脅，為協助組織偵測威脅，Google的Mandiant團隊發布了一個專用掃描腳本，該工具能夠在Unix/Linux系統及其他平台上運行，無需額外安裝YARA工具，即可直接搜尋Brickstorm後門程式的特徵字串和十六進制模式。