ZURÜCK ZU NACHRICHTEN
CERT-Hinweise

CISA aktualisiert BRICKSTORM-Backdoor-Malware-Analyse mit Rust-basierten Samples und IOCs

2 Min. LesezeitQuelle: CISA Cybersecurity Advisories

CISA veröffentlicht gemeinsam mit NSA und dem Canadian Centre for Cyber Security eine erweiterte Analyse der BRICKSTORM-Backdoor, inklusive Rust-basierter Varianten und neuer IOCs.

CISA und Partner erweitern BRICKSTORM-Backdoor-Analyse mit Rust-basierten Varianten

Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit der National Security Agency (NSA) und dem Canadian Centre for Cyber Security ein aktualisiertes Malware Analysis Report (AR25-338A) zur BRICKSTORM-Backdoor veröffentlicht. Die Aktualisierung umfasst neue Indikatoren für Kompromittierungen (IOCs), Erkennungssignaturen und Analysen zusätzlicher Samples, darunter Rust-basierte Varianten der Malware.

Wichtige Aktualisierungen und technische Details

Der überarbeitete Bericht bietet Sicherheitsteams entscheidende Einblicke in die sich weiterentwickelnde Bedrohung durch BRICKSTORM, eine Backdoor, die zuvor mit Advanced Persistent Threat (APT)-Aktivitäten in Verbindung gebracht wurde. Zu den wichtigsten Ergänzungen der Analyse gehören:

  • Rust-basierte Malware-Samples: Die Aufnahme von Varianten in der Programmiersprache Rust deutet darauf hin, dass Angreifer moderne Programmiersprachen nutzen, um die Erkennung zu umgehen und Reverse Engineering zu erschweren.
  • Erweiterte IOCs: Aktualisierte Hashes, IP-Adressen, Domains und andere Artefakte zur Unterstützung bei der Bedrohungssuche und Incident Response.
  • Erkennungssignaturen: YARA-Regeln und andere Signaturen zur verbesserten Identifizierung von BRICKSTORM-bezogener Aktivität in Netzwerken.

Obwohl der ursprüngliche Bericht keinen spezifischen Bedrohungsakteur hinter BRICKSTORM nannte, entspricht die Komplexität der Malware den Taktiken staatlich unterstützter Gruppen, die kritische Infrastrukturen, Regierungs- und Privatsektor-Organisationen angreifen.

Auswirkungen und Gegenmaßnahmen

Die BRICKSTORM-Backdoor ermöglicht dauerhaften Zugriff, Command-and-Control (C2)-Kommunikation und Datenexfiltration und stellt damit ein erhebliches Risiko für betroffene Systeme dar. Organisationen werden aufgefordert:

  • Die aktualisierten IOCs zu prüfen und in Sicherheitsüberwachungstools zu integrieren.
  • Die bereitgestellten Erkennungssignaturen einzusetzen, um mögliche Kompromittierungen zu identifizieren.
  • Bedrohungssuchen nach Anzeichen von BRICKSTORM-Aktivitäten durchzuführen, insbesondere in hochsensiblen Umgebungen.
  • Das Patchen bekannter Schwachstellen zu priorisieren, die von der Malware ausgenutzt werden (falls zutreffend).

Nächste Schritte für Sicherheitsteams

CISA und seine Partner überwachen weiterhin die Entwicklung von BRICKSTORM und fordern Organisationen auf, relevante Vorfälle über das CISA Incident Reporting System zu melden. Der aktualisierte Bericht dient als Ressource für Verteidiger, um Systeme gegen diese anhaltende Bedrohung zu härten.

Für vollständige technische Details steht der komplette Malware Analysis Report (AR25-338A) zur Verfügung.

Teilen

TwitterLinkedIn