資安廠商 Volexity 近日發布研究報告,揭露中國關聯進階持續性威脅(APT)組織
VerdantBamboo 正在部署一款 BRICKSTORM 後門的 BSD 系統變種,並同步啟用兩款全新惡意程式 PLENET(又名 GRIMBOLT)與 AGENTPSD,鎖定 Linux 網路設備發動間諜行動。此一發展標誌著中國 APT 工具庫的系統性跨平台擴張,對廣泛採用 Linux 基礎設施的台灣政府機關與關鍵產業構成直接威脅。
BRICKSTORM 的平台演進:從虛擬化環境到 BSD 再到 Linux
BRICKSTORM 並非新興惡意程式。這款後門工具最初以 Golang 語言撰寫,後續演進出 Rust 版本,過去主要被記錄於針對 VMware vSphere 虛擬化伺服器及 Dell RecoverPoint 設備的攻擊活動中。Volexity 此次揭露的 BSD 系統變種,是首次公開記錄的新平台版本,顯示 VerdantBamboo 正有計畫地將攻擊工具移植至不同作業系統平台,形成跨平台作戰能力。
此種演進策略具有明確的戰術邏輯。
企業與政府機關的核心網路設備,包括防火牆、網路附加儲存裝置(NAS)、VPN 閘道等,普遍採用 BSD 或 Linux 作業系統,且這類設備長期處於資安監控的灰色地帶,既缺乏端點偵測與回應(EDR)工具的覆蓋,日誌記錄機制也往往不如其他環境完整。對攻擊者而言,成功滲透此類設備,等同於在企業網路中取得一個幾乎不被察覺的長期立足點。
Volexity 確認,VerdantBamboo 與微軟追蹤的 Clay Typhoon、Google 追蹤的 UNC5221 及 CrowdStrike 追蹤的 Warp Panda 存在重疊,屬同一中國關聯威脅叢集。
三款惡意程式分工,構成完整間諜作戰體系
此次行動最值得關注之處,在於 VerdantBamboo 並非單獨使用 BRICKSTORM,而是搭配兩款此前未曾公開記錄的惡意程式,形成多層次的攻擊體系。
PLENET(別名 GRIMBOLT)與
AGENTPSD 在功能定位上各司其職,協助攻擊者在成功入侵設備後,建立持久化存取機制、執行橫向移動,並對外部資源進行隱匿通訊。PLENET 以 .NET Core 開發,支援互動式 Shell、遠端指令執行、檔案操作及指揮控制(C2)伺服器動態切換,Volexity 指出其設計思路與 BRICKSTORM 相近,同樣採用 WebSocket 協定進行 C2 通訊。AGENTPSD 則是一款以 Python 語言撰寫的反向 Shell,定位為主要植入程式失效時的備援存取機制。
根據 Volexity 的事件應變調查,攻擊者在受害組織的 Egnyte Storage Sync 系統取得立足點後,利用 BRICKSTORM 的代理功能搭配竊得憑證,進一步存取受害組織的微軟 Microsoft 365 雲端環境,目的是混入合法網路流量以規避條件式存取(Conditional Access)安全政策。值得注意的是,初始入侵發生在事件被發現的至少 18 個月之前,顯示攻擊者具備極高的隱匿能力與耐心。
防禦建議
BRICKSTORM BSD 變種所鎖定的 Linux 與 BSD 網路設備,正是台灣政府、金融、電信及製造業核心網路環境的重要組成。一旦此類設備遭到滲透,攻擊者不僅可竊取通訊內容與內部資料,更可藉此監控整個組織網路的流量,其戰略情報價值對國家級間諜行動而言極具吸引力。此次事件亦揭露攻擊者透過入侵受害組織的託管服務供應商(MSP)作為跳板的供應鏈滲透手法,進一步擴大潛在受害範圍。
面對此波威脅,資安專家建議台灣企業與政府機關採取以下措施:
- 盤點所有 BSD 及 Linux 網路設備(包含防火牆、VPN 閘道、NAS),確認是否有異常的對外連線或未授權的程序執行紀錄
- 參考 Volexity 於 GitHub 公開的入侵指標(IoC),對環境進行威脅獵捕(Threat Hunting)
- 強化網路設備的日誌保留機制,確保可供事後鑑識分析
- 檢視 Microsoft 365 等雲端環境的存取紀錄,排查是否有來自非預期地點或設備的異常登入行為
- 將關鍵網路設備的韌體與作業系統版本更新納入定期維護排程,並對 MSP 供應商的存取權限實施最小權限原則,降低供應鏈滲透風險
VerdantBamboo 的持續演進,再次印證中國 APT 組織對台灣的關注從未間斷,且其技術能力正持續提升。企業不應將網路設備視為「免疫於攻擊」的黑盒子,而應將其納入與端點設備同等嚴格的資安監控體系之中。