Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA), Cơ quan An ninh Quốc gia (NSA), và Trung tâm An ninh Mạng Canada (Cyber Centre) đã ban hành cảnh báo chung, nêu chi tiết về một chiến dịch mã độc BRICKSTORM mới. Chiến dịch này được thực hiện bởi các tác nhân mạng được bảo trợ bởi nhà nước, nhắm mục tiêu vào các mạng lưới chính phủ và công nghệ thông tin quan trọng.
BRICKSTORM được mô tả là một backdoor tùy chỉnh được phát triển bằng ngôn ngữ Go. Mã độc này sử dụng kỹ thuật tiên tiến để né tránh phát hiện, đồng thời cấp cho kẻ tấn công quyền kiểm soát hoàn toàn các hệ thống bị xâm nhập.
BRICKSTORM: Mã Độc Backdoor Tinh Vi
Mã độc BRICKSTORM được thiết kế để thiết lập quyền truy cập bền bỉ lâu dài trong các môi trường VMware vSphere và Windows. Không giống như các loại mã độc thông thường, BRICKSTORM được thiết kế để tích hợp sâu vào cơ sở hạ tầng ảo hóa.
Mã độc nhắm mục tiêu cụ thể vào các máy chủ VMware vCenter và máy chủ ESXi, cho phép các tác nhân đe dọa thao túng trực tiếp các máy ảo. Điều này mang lại khả năng kiểm soát đáng kể đối với môi trường ảo hóa của nạn nhân.
Cơ Chế Hoạt Động Của BRICKSTORM
Cơ chế Command-and-Control (C2) của mã độc BRICKSTORM đặc biệt kiên cường và khó bị phát hiện, thể hiện một mối đe dọa mạng phức tạp. Mã độc này sử dụng DNS-over-HTTPS (DoH) để phân giải các tên miền độc hại thông qua các trình phân giải công cộng hợp pháp như Cloudflare và Google.
Phương pháp này giúp lưu lượng truy cập C2 của mã độc hòa lẫn vào lưu lượng mạng thông thường, gây khó khăn cho việc phát hiện dựa trên các mẫu lưu lượng bất thường. Khi máy chủ C2 được định vị, mã độc sẽ thiết lập kết nối bằng HTTPS tiêu chuẩn, sau đó nâng cấp lên kết nối WebSocket.
Kết nối WebSocket này được lồng ghép thêm các lớp mã hóa Transport Layer Security (TLS), tạo ra một kênh giao tiếp an toàn và phức tạp. Phương pháp đường hầm đa lớp này, thường sử dụng các thư viện multiplexing như smux hoặc Yamux, cho phép kẻ tấn công chạy nhiều luồng dữ liệu.
Các luồng dữ liệu này có thể bao gồm các shell tương tác và truyền tệp, tất cả đều nằm trong một kết nối mã hóa duy nhất. Điều này giúp duy trì tính bí mật và hiệu quả của việc kiểm soát từ xa.
Chiến Thuật Tấn Công và Xâm Nhập Mạng
Báo cáo chung nêu bật một sự cố cụ thể, nơi các tác nhân đã duy trì quyền truy cập vào mạng của nạn nhân từ Tháng 4 năm 2024 đến ít nhất Tháng 9 năm 2025. Đây là một ví dụ rõ ràng về khả năng duy trì quyền truy cập bền bỉ của mã độc BRICKSTORM.
Từ DMZ đến Mạng Nội Bộ
Trong trường hợp này, kẻ tấn công ban đầu đã xâm nhập vào một máy chủ web trong vùng DMZ (Demilitarized Zone) của tổ chức. Từ đó, chúng thực hiện di chuyển ngang sang các bộ điều khiển miền nội bộ và máy chủ Active Directory Federation Services (ADFS).
Việc chiếm quyền kiểm soát các máy chủ quan trọng này cho phép kẻ tấn công mở rộng phạm vi xâm nhập mạng và thu thập thông tin nhạy cảm.
Kiểm Soát VMware vCenter và Đánh Cắp Dữ Liệu
Một khi đã vào được mạng nội bộ, các tác nhân đã triển khai mã độc BRICKSTORM vào một máy chủ VMware vCenter. Từ vị trí chiến lược này, chúng có thể đánh cắp các bản snapshot của máy ảo để trích xuất thông tin đăng nhập.
Thậm chí, kẻ tấn công còn có khả năng tạo ra các máy ảo “rogue” (máy ảo giả mạo) hoạt động vô hình bên cạnh các khối lượng công việc hợp pháp. Điều này cho phép duy trì quyền kiểm soát ẩn danh và thực hiện các hoạt động độc hại.
Lợi Dụng Active Directory Federation Services (ADFS)
Báo cáo cũng ghi nhận rằng các tác nhân đã thành công trong việc xâm nhập máy chủ ADFS để xuất các khóa mã hóa. Đây là một vi phạm nghiêm trọng có thể cho phép kẻ tấn công giả mạo các mã thông báo xác thực.
Khả năng này cung cấp cho kẻ tấn công một phương tiện mạnh mẽ để truy cập vào các tài nguyên và dịch vụ được bảo vệ mà không cần thông tin đăng nhập hợp lệ, tạo ra một lỗ hổng bảo mật nghiêm trọng.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Một trong những đặc điểm nổi bật của mã độc BRICKSTORM là khả năng duy trì quyền truy cập qua các lần khởi động lại hệ thống. Mã độc thực hiện điều này bằng cách sửa đổi các tệp khởi tạo hệ thống.
Ví dụ, mã độc có thể thay đổi các tệp như /etc/sysconfig/init trên các hệ thống Linux hoặc các vị trí tương tự trên Windows để đảm bảo rằng nó sẽ được thực thi mỗi khi hệ thống khởi động. Điều này làm cho việc phát hiện và loại bỏ mã độc trở nên khó khăn hơn.
Để minh họa, dưới đây là một ví dụ về cách một tệp khởi tạo có thể bị sửa đổi (lưu ý: đây là ví dụ minh họa, không phải mã khai thác thực tế của BRICKSTORM):
# Thêm dòng này vào cuối tệp /etc/sysconfig/init để khởi chạy mã độc
/usr/local/bin/brickstorm_agent &Khuyến Nghị Bảo Mật và Biện Pháp Đối Phó
CISA và các đối tác khẩn trương kêu gọi các tổ chức, đặc biệt là các tổ chức chính phủ và trong lĩnh vực cơ sở hạ tầng quan trọng, lập tức săn tìm các chỉ số bị tổn hại (IOCs) của mã độc BRICKSTORM.
Các khuyến nghị này nhằm mục đích giảm thiểu rủi ro và tăng cường an ninh mạng cho các hệ thống bị đe dọa. Chi tiết cảnh báo có thể tham khảo thêm tại báo cáo phân tích mã độc BRICKSTORM từ CISA, NSA và Cyber Centre: MALWARE-ANALYSIS-REPORT-BRICKSTORM-BACKDOOR.PDF.
Cập Nhật và Hạn Chế Kết Nối
- Ưu tiên nâng cấp các máy chủ VMware vSphere lên phiên bản mới nhất. Việc áp dụng các bản vá bảo mật giúp khắc phục các lỗ hổng đã biết mà mã độc có thể lợi dụng.
- Hạn chế nghiêm ngặt kết nối mạng từ các thiết bị biên (edge devices) đến các tài nguyên nội bộ. Điều này giúp giảm thiểu khả năng di chuyển ngang của kẻ tấn công trong mạng.
Kiểm Soát Giao Thức DoH
- Quản trị viên mạng nên chặn lưu lượng DoH trái phép để ngăn chặn mã độc BRICKSTORM phân giải cơ sở hạ tầng C2 của nó. Việc kiểm soát DoH là rất quan trọng để làm gián đoạn kênh liên lạc của mã độc.
Giám Sát Tài Khoản Dịch Vụ
- Tăng cường giám sát các tài khoản dịch vụ, vốn đã bị lạm dụng nghiêm trọng trong các cuộc tấn công được quan sát. Các tài khoản này thường có đặc quyền cao và là mục tiêu hấp dẫn đối với kẻ tấn công.
Phân Tích Đĩa để Phát Hiện Persistence
- Do mã độc BRICKSTORM sửa đổi các tệp khởi tạo hệ thống để tồn tại qua các lần khởi động lại, các bản quét pháp y tiêu chuẩn của các tiến trình đang chạy có thể cần được bổ sung bằng phân tích dựa trên đĩa. Điều này giúp phát hiện các cơ chế duy trì quyền truy cập tĩnh.
