La Agencia de Seguridad de Infraestructura y Ciberseguridad lanzada Nuevo análisis de la actividad de amenazas vinculada al malware Brickstormque ha sido utilizado por un grupo de amenazas del nexo con China en una campaña de meses contra múltiples organizaciones estadounidenses.
El análisis de CISA incluyó indicadores de compromiso y firmas de detección para muestras de Brickstorm recién obtenidas, algunas de ellas basadas en el lenguaje de programación Rust.
La evidencia muestra la capacidad del malware para ejecutarse en segundo plano para evadir la detección, advirtió CISA, y demuestra capacidades avanzadas de comando y control utilizando conexiones WebSocket cifradas.
«Dado el alcance y la complejidad de la actividad en curso, CISA continúa colaborando con el gobierno, la industria y socios internacionales recopilando nuevos conocimientos, realizando análisis técnicos y brindando nuevos detalles a la comunidad de ciberseguridad en general a medida que los descubrimos», dijo a Cybersecurity Dive Nick Andersen, subdirector ejecutivo de ciberseguridad de CISA. «La actualización de nuestro informe refleja los esfuerzos continuos para reducir el riesgo resultante de esta actividad».
CISA trabajó con la Agencia de Seguridad Nacional y el Centro Canadiense de Ciberseguridad en la guía actualizada.
A principios de este mes, investigadores de CrowdStrike advirtió sobre un adversario del nexo con China rastreado como Warp Panda implementar malware Brickstorm en ataques contra múltiples entornos VMware vCenter, incluidas empresas legales, de fabricación y de tecnología.
Warp Panda ha explotado los dispositivos periféricos conectados a Internet para obtener acceso inicial antes de atacar los entornos vCenter. El actor de amenazas ha podido mantener una persistencia a largo plazo dentro de las redes comprometidas. En un caso, el acceso inicial se obtuvo por primera vez en 2023.
«Para los defensores, el desafío es que Warp Panda explote el espacio entre la identidad, la virtualización y la nube», dijo Adam Meyers, jefe de operaciones contra adversarios en CrowdStrike, a Cybersecurity Dive a principios de este mes.
Broadcom instó anteriormente a los clientes a mantener parches actualizados y seguir las instrucciones para proteger los entornos vSphere.
Fuente