BRICKSTORM malware: Cập nhật IOCs mới, mối đe dọa nghiêm trọng

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA), cùng với Cơ quan An ninh Quốc gia (NSA) và Trung tâm An ninh mạng Canada (Cyber Centre), đã công bố các chỉ số thỏa hiệp (IOCs) và chữ ký phát hiện cập nhật cho BRICKSTORM malware. Bản cập nhật mới nhất, được công bố vào ngày 19 tháng 12 năm 2025, bao gồm phân tích ba mẫu mã độc bổ sung, nâng tổng số biến thể được phân tích lên 11.

Cập Nhật Cảnh Báo về BRICKSTORM malware và Chỉ Số IOC Mới

BRICKSTORM malware là một backdoor tinh vi, được cho là do các tác nhân đe dọa tinh vi sử dụng để duy trì quyền truy cập dai dẳng vào các hệ thống bị xâm nhập trong thời gian dài. Mối đe dọa mạng này chủ yếu nhắm mục tiêu vào các tổ chức trong lĩnh vực Dịch vụ và Cơ sở Chính phủ cũng như Công nghệ thông tin.

Phân Tích Các Biến Thể Mã Độc Mới Nhất

Sự cập nhật về BRICKSTORM là cần thiết do sự phát triển liên tục của các biến thể mã độc. Các phân tích ban đầu tập trung vào tám mẫu dựa trên ngôn ngữ Go. Tuy nhiên, hai trong số ba mẫu mới được thêm vào bản cập nhật ngày 19 tháng 12 là dựa trên ngôn ngữ Rust.

Điều này cho thấy sự thay đổi trong kỹ thuật của các tác nhân đe dọa, phản ánh khả năng thích nghi và nâng cao công cụ của họ. Sự đa dạng về ngôn ngữ lập trình cho phép mã độc khó bị phát hiện hơn và có thể hoạt động trên nhiều nền tảng.

BRICKSTORM: Đặc Tính Kỹ Thuật và Khả Năng Tác Động

BRICKSTORM malware gây ra một mối đe dọa đáng kể nhờ vào các khả năng nâng cao của nó. Mã độc này được xây dựng tùy chỉnh, sử dụng các ngôn ngữ lập trình hiện đại và hoạt động như một backdoor ở định dạng Executable and Linkable Format (ELF).

Cấu Trúc và Ngôn Ngữ Lập Trình

Mã độc BRICKSTORM được phát triển bằng ngôn ngữ Go hoặc Rust. Việc sử dụng các ngôn ngữ này mang lại một số lợi thế cho kẻ tấn công, bao gồm khả năng biên dịch thành tệp nhị phân độc lập, dễ dàng phân phối và khó phân tích ngược hơn so với các ngôn ngữ truyền thống.

Các mẫu Go-based thường có kích thước lớn hơn nhưng lại được tối ưu hóa về hiệu suất. Trong khi đó, các biến thể Rust-based mang lại lợi ích về an toàn bộ nhớ và khả năng kiểm soát cấp thấp, làm cho mã độc trở nên mạnh mẽ và khó bị phát hiện bởi các công cụ bảo mật tiêu chuẩn.

Cơ Chế Che Giấu Giao Tiếp Command-and-Control

Theo báo cáo chung của CISA, BRICKSTORM cung cấp cho các tác nhân mạng khả năng kiểm soát hệ thống toàn diện. Để che giấu giao tiếp với máy chủ command-and-control (C2), mã độc sử dụng nhiều lớp mã hóa.

• HTTPS: Đảm bảo kênh liên lạc được mã hóa và khó bị chặn.
• WebSockets: Cung cấp giao tiếp hai chiều liên tục, thường được sử dụng trong các ứng dụng web hợp pháp, giúp mã độc ẩn mình.
• Nested TLS (Transport Layer Security): Sử dụng nhiều lớp TLS lồng nhau để tăng cường mức độ bảo mật và làm phức tạp quá trình phân tích lưu lượng.

Ngoài ra, BRICKSTORM malware còn triển khai DNS-over-HTTPS (DoH). Kỹ thuật này giúp mã độc ngụy trang các yêu cầu DNS độc hại dưới dạng lưu lượng HTTPS hợp pháp, khiến việc phát hiện các truy vấn DNS độc hại trở nên khó khăn hơn. Mã độc cũng mô phỏng chức năng máy chủ web hợp pháp để hòa trộn lưu lượng độc hại với hoạt động mạng thông thường, gây khó khăn cho các hệ thống phát hiện xâm nhập (IDS).

Mục Tiêu Tấn Công và Môi Trường Bị Ảnh Hưởng

BRICKSTORM đặc biệt nhắm vào môi trường VMware vSphere, bao gồm các máy chủ VMware vCenter và nền tảng VMware ESXi. Các môi trường ảo hóa này thường là xương sống của nhiều hạ tầng CNTT quan trọng, khiến chúng trở thành mục tiêu giá trị cao cho các cuộc tấn công.

Trong một sự cố được CISA ứng phó, các tác nhân đã duy trì quyền truy cập liên tục vào mạng nội bộ của một tổ chức nạn nhân từ tháng 4 năm 2024. Mã độc BRICKSTORM đã được tải lên máy chủ VMware vCenter nội bộ. Kẻ tấn công đã xâm nhập hai bộ điều khiển miền (domain controllers) và một máy chủ Active Directory Federation Services (ADFS), thành công trong việc xuất các khóa mã hóa.

Điều này cho phép chúng có quyền truy cập bền bỉ từ ít nhất tháng 4 năm 2024 đến tháng 9 năm 2025, minh chứng cho tính hiệu quả và độ tinh vi của BRICKSTORM trong việc duy trì hiện diện trên mạng.

Kỹ Thuật Xâm Nhập và Duy Trì Quyền Truy Cập Bền Bỉ

Một khi được triển khai, BRICKSTORM cấp cho các tác nhân đe dọa khả năng truy cập shell tương tác. Quyền truy cập này cho phép chúng thực hiện nhiều hoạt động độc hại khác nhau trên các hệ thống đã bị xâm nhập.

Quyền Truy Cập Vỏ Tương Tác và Thao Tác Hệ Thống

Với shell tương tác, kẻ tấn công có thể: duyệt, tải lên, tải xuống, tạo, xóa và thao tác các tệp trên hệ thống. Khả năng này mang lại cho chúng quyền kiểm soát gần như hoàn toàn đối với máy chủ bị nhiễm, cho phép chúng thực hiện nhiều hành động từ trích xuất dữ liệu đến triển khai các công cụ khác.

Ví dụ, việc tải lên các tệp thực thi mới hoặc thay đổi cấu hình hệ thống có thể dẫn đến việc cài đặt các backdoor bổ sung hoặc làm suy yếu hơn nữa hệ thống phòng thủ. Đây là một điểm trọng yếu trong chiến dịch xâm nhập và duy trì quyền kiểm soát.

Sử Dụng SOCKS Proxy để Di Chuyển Ngang

Một số biến thể của BRICKSTORM còn hoạt động như các proxy SOCKS. Chức năng này tạo điều kiện thuận lợi cho việc di chuyển ngang (lateral movement) trong mạng nội bộ, cho phép kẻ tấn công tiếp cận và xâm nhập các hệ thống bổ sung mà không cần phải thiết lập kết nối trực tiếp từ bên ngoài.

Việc sử dụng proxy SOCKS giúp che giấu nguồn gốc thực sự của các kết nối, làm phức tạp quá trình điều tra và ứng phó sự cố. Điều này cho phép kẻ tấn công mở rộng phạm vi kiểm soát, từ đó tăng nguy cơ rò rỉ dữ liệu hoặc phá hoại hệ thống rộng lớn hơn.

Biện Pháp Phát Hiện Mã Độc và Ứng Phó

Để chống lại mối đe dọa từ BRICKSTORM, CISA, NSA và Cyber Centre khuyến nghị mạnh mẽ các tổ chức tận dụng các chỉ số thỏa hiệp và chữ ký phát hiện đã được phát hành.

Tận Dụng IOCs và Chữ Ký Phát Hiện

Các chỉ số thỏa hiệp (IOCs) và chữ ký phát hiện bao gồm các quy tắc YARA và Sigma. Đây là các công cụ quan trọng giúp các nhà phân tích bảo mật xác định mẫu BRICKSTORM malware trong môi trường của họ. Ví dụ về cách các quy tắc này có thể được sử dụng:

rule BRICKSTORM_Rust_Variant { meta: author = "CISA, NSA, Cyber Centre" description = "Detects BRICKSTORM Rust-based variants" date = "2025-12-19" hash = "AABBCCDD12345678" strings: $s1 = "/proc/self/exe" wide ascii $s2 = "/dev/shm" wide ascii $s3 = "command-and-control" wide ascii condition: uint16(0) == 0x5A4D and 3 of ($s*)}

CISA đã cung cấp các bản sao IOCs có thể tải xuống ở định dạng STIX, cùng với các quy tắc phát hiện Sigma ở định dạng YAML. Các tài nguyên này rất quan trọng để tăng cường khả năng phòng thủ của tổ chức chống lại BRICKSTORM malware dai dẳng này.

Các tổ chức có thể truy cập các tài nguyên này thông qua trang web chính thức của CISA để cập nhật hệ thống phòng thủ của mình. Liên kết truy cập tới thông tin chi tiết và tải xuống các tài nguyên này có thể tìm thấy tại Báo cáo phân tích của CISA.

Quy Trình Báo Cáo Sự Cố và Nguồn Tài Nguyên

Nếu phát hiện BRICKSTORM malware hoặc các hoạt động liên quan, các tổ chức nên báo cáo sự cố ngay lập tức cho CISA, Cyber Centre hoặc các cơ quan có thẩm quyền phù hợp. Việc báo cáo kịp thời giúp các cơ quan này tổng hợp thông tin, đưa ra cảnh báo rộng rãi hơn và phối hợp ứng phó hiệu quả.

Báo cáo này cũng nhấn mạnh sự tinh vi không ngừng của các hoạt động mạng tiên tiến và nhu cầu cấp thiết đối với các tổ chức, đặc biệt là trong các lĩnh vực chính phủ và cơ sở hạ tầng quan trọng, phải triển khai các khả năng phát hiện và ứng phó mạnh mẽ. Việc liên tục cập nhật bản vá bảo mật và theo dõi các mối đe dọa là điều tối quan trọng.