中國駭客瞄準缺乏EDR防護的邊界設備，藉Brickstorm後門潛伏18個月

研究人員是在調查異常網路流量時，發現這起VerdantBamboo入侵事件。受害環境中有一臺執行Egnyte Storage Sync的Linux虛擬機器設備，該設備未連往Egnyte相關網域，而是連到攻擊者控制並透過Cloudflare代理的網域。研究人員後續取得系統快照分析，確認該設備已遭植入Brickstorm。

調查發現，攻擊者使用Storage Sync系統上的服務帳號登入設備。該組密碼原本已由受害組織的委外管理服務供應商變更，因此Volexity研判攻擊者應是從該供應商取得這組憑證。攻擊者接著利用帳號權限設定上的缺陷，取得可寫入系統目錄的能力，將Brickstorm放進需要高權限才能操作的位置，並在需要時手動啟動後門。

研究人員指出，Brickstorm與另一個備援用的AGENTPSD惡意程式，至少已在Storage Sync設備上存在18個月。AGENTPSD以Python撰寫，功能較簡單，可讓攻擊者在主要後門失效時重新取得遠端命令執行能力，但在這起事件未被觀察到實際運作。

受害組織初步處置後，VerdantBamboo又重新進入網路。研究人員發現，受害組織防火牆的管理介面暴露在網際網路上，攻擊者使用未受多因素驗證保護的管理員憑證登入，啟用網頁式SSL VPN，再轉進內部系統，將另一個後門PLENET部署到Synology NAS。PLENET以.NET Core開發，並使用Native AOT編譯成獨立Linux執行檔，可執行互動式命令、檔案操作與切換指揮控制伺服器。

受害組織的委外管理服務供應商環境中，也發現pfSense防火牆遭到入侵，並被部署FreeBSD版本的Brickstorm，研究人員評估，受害組織可能是被已遭入侵的供應商波及。

在該事件中，VerdantBamboo鎖定的是防火牆、網路儲存設備、檔案同步系統等較少安裝端點偵測與回應工具的設備。研究人員認為，這些設備通常較難完整監控，也不一定讓企業取得完整系統權限，因此更容易成為長期潛伏據點。Volexity已將Egnyte Storage Sync的本機權限提升問題通報Egnyte，該問題後續在Storage Sync v13.13修補。