【要約】
NVISOの報告書は、中国関連のUNC5221クラスターに結びついたバックドア「BRICKSTORM」の分析を提供しています。BRICKSTORMは、主にヨーロッパの戦略的産業をターゲットにしたサイバー諜報活動に使用されており、Windows環境で新たに発見されたバージョンも含まれています。このバックドアは、ファイルマネージャーやネットワークトンネリング機能を提供し、攻撃者がターゲットのシステム内で自由にファイル操作や横方向移動を行うことを可能にします。また、BRICKSTORMはDNS over HTTPS(DoH)を利用してコマンド&コントロール(C2)通信を隠蔽し、TLSを多重化することで通信の監視を回避します。これにより、攻撃者は長期間にわたり検出を避けながら活動を続けることができます。報告書では、BRICKSTORMの技術的な詳細、インフラ、対策方法、そして脅威ハンティングの推奨事項も提供されています。
【資料】
◆BRICKSTORM Backdoor Analysis (Nviso, 2025/04)
https://blog.nviso.eu/wp-content/uploads/2025/04/NVISO-BRICKSTORM-Report.pdf
【関連まとめ記事】
◆全体まとめ
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆UNC5221 (まとめ)
https://malware-log.hatenablog.com/entry/UNC5221
◆マルウェア / Malware (まとめ)
◆バックドア / Backdoor / RAT / 隠し機能 (まとめ)
◆BrickStorm (まとめ)
https://malware-log.hatenablog.com/entry/BrickStorm
