Jenseits von Endpunkten: Wie BRICKSTORM blinde Flecken in der Sicherheit aufdeckte

1. Oktober 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Jenseits von Endpunkten: Wie BRICKSTORM blinde Flecken in der Sicherheit aufdeckte

Die BRICKSTORM-Backdoor von UNC5221 ist mehr als nur ein weiteres Stück malware. Sie beweist, dass fortschrittliche Angreifer gewinnen, indem sie sich an Stellen verstecken, die SOC-Teams nicht sehen können. Mandiant hat herausgefunden, dass Angreifer, die BRICKSTORM verwenden, im Durchschnitt mehr als 400 Tage lang in US-Unternehmen leben, bevor sie entdeckt werden. Sie erreichten dies, indem sie die blinden Flecken in Netzwerkgeräten, Virtualisierungsplattformen und Identitätssystemen ausnutzten. Bei dieser Kampagne ging es nicht um "smash and grab"-Angriffe. Es ging um Geduld, Heimlichkeit und Ausdauer in einer Infrastruktur, die von den meisten Sicherheitstools ignoriert wird.

Geräte im Dunkeln: Wo BRICKSTORM sich versteckte

BRICKSTORM war erfolgreich, weil es sich an Orten aufhielt, die von den meisten Sicherheitsteams selten beobachtet werden. Die Hintertür wurde entwickelt, um auf Edge-Appliances wie VPN-Gateways, Firewalls und VMware vCenter-Servern zu laufen. Diese Systeme sind für die Geschäftskontinuität von entscheidender Bedeutung, aber sie verfügen oft nicht über endpoint und erzeugen nur wenige Protokolle. Diese Sicherheitslücke schuf das perfekte Versteck.

Nach der Installation fügte sich BRICKSTORM in normale Prozesse ein und blieb sogar über Neustarts hinweg bestehen, indem es Startskripte änderte. Aus der Sicht des Angreifers ist dies die ideale Ausgangsposition. Aus der Sicht des Verteidigers ist er fast unsichtbar. SOC-Teams, die Endpunkte und cloud überwachen, hatten keine Anzeichen dafür, dass Angreifer innerhalb der Infrastruktur operierten, die diese Systeme miteinander verbindet.

Diese toten Winkel gaben den Angreifern den Raum, den sie brauchten, um sich zu verstecken. Aber bei der Tarnung ging es nicht nur darum, wo sie lebten, sondern auch darum, wie sie vorgingen.

BRICKSTORM Targeting. Quelle Google Cloud

Täuschung, die über ein Jahr anhielt

Die Betreiber von UNC5221haben BRICKSTORM so entwickelt, dass sie jede herkömmliche Erkennungsmethode umgehen. Jedes Implantat wurde speziell für sein Opfer kompiliert, oft ohne Identifikatoren und verschleiert, um wie ein legitimer Prozess auszusehen. Einige Versionen enthielten sogar eine Funktion zum verzögerten Start, die monatelang schlummerte, bevor sie aktiviert wurde. Als die malware sich meldete, waren die Einsatzkräfte schon längst weitergezogen.

Diese Vorgehensweise erklärt die erstaunliche Verweildauer von rund 400 Tagen. Indikatoren für eine Kompromittierung waren praktisch nutzlos. Es gab keine wiederverwendeten Domänen, keine wiederholten Datei-Hashes und keine Signaturen, auf die man sich verlassen konnte. Stattdessen nutzten die Angreifer gültige Anmeldeinformationen und Standardverwaltungsprogramme, um sich seitlich zu bewegen und Daten zu stehlen. Ihre Anwesenheit fügte sich so nahtlos in die Routineaktivitäten ein, dass selbst erfahrene SOC-Teams die Anzeichen nicht erkannten.

Die Realität ist, dass dieses Maß an Heimlichkeit mit einem statischen Ansatz nicht zu erreichen ist. Um die Verweildauer zu verkürzen, muss die Erkennung von der Verfolgung von Indikatoren zur Überwachung des Verhaltens übergehen. Nur durch das Aufspüren subtiler Anomalien in der Funktionsweise von Infrastruktur, Benutzern und Diensten können Verteidiger den Vorsprung, den BRICKSTORM hatte, aufholen.

Wenn Geräte ein Tor zur Identität werden

Für UNC5221 war BRICKSTORM nie das Endziel. Die kompromittierten Geräte dienten als Sprungbrett zu den Systemen, die am wichtigsten sind: die Identitätsinfrastruktur.

Nach dem Eindringen klonten die Angreifer ganze Domänencontroller, um unbemerkt Active Directory-Datenbanken zu extrahieren. Sie setzten benutzerdefinierte Servlet-Filter in VMware vCenter ein, um Admin-Anmeldedaten abzuschöpfen. In cloud registrierten sie betrügerische Anwendungen in Microsoft 365, um Postfächer zu lesen, als ob es sich um legitime Dienste handelte. Jeder dieser Schritte verschaffte den Angreifern privilegierten Zugang, ohne einen Alarm auszulösen.

Aus der Sicht eines Verteidigers sah es so aus, als würden sich normale Administratoren anmelden, Rechner klonen oder cloud Berechtigungen erteilen. In Wirklichkeit war es eine langsame Demontage des Vertrauens in den Kern des Unternehmens.

Dieser Schwenk zur Identität ist der schädlichste Teil der Kampagne. Sobald Angreifer Domänencontroller oder SaaS-Authentifizierung kontrollieren, können sie auf praktisch jede Ressource zugreifen. BRICKSTORM hat gezeigt, wie Angreifer jetzt Geräte mit dem Diebstahl von Anmeldeinformationen kombinieren, um die Vorherrschaft in hybriden Umgebungen zu erlangen.

Der Schutz von Endgeräten allein reicht nicht mehr aus, wenn die Identität das höchste Gut ist.

Auswirkungen auf Supply Chain über das primäre Ziel hinaus

UNC5221 macht nicht bei einzelnen Unternehmen halt. Bei vielen der von BRICKSTORM kompromittierten Organisationen handelte es sich um Dienstleistungsanbieter - SaaS-Plattformen, Outsourcing-Firmen und Rechtsdienste, die Daten speichern oder den Zugang für Dutzende von nachgelagerten Kunden bereitstellen. Durch die Einbettung in diese Anbieter konnten sich die Angreifer weit über ein einzelnes Netzwerk hinaus ausbreiten.

Diese Strategie vergrößert die Auswirkungen einer jeden Kompromittierung. Ein Einbruch in ein SaaS-Unternehmen könnte sensible Daten von Regierungsbehörden offenlegen. Ein Einbruch in einen Outsourcing-Partner könnte Wege in mehrere Branchen auf einmal eröffnen. Für den Angreifer ist dies ein effizienter Weg, seine Reichweite zu vergrößern. Für Verteidiger ist es eine Erinnerung daran, dass Ihre Sicherheitsvorkehrungen nur so stark sind wie die Partner und Anbieter, auf die Sie sich verlassen.

Die BRICKSTORM-Kampagne zeigt, wie sich die Gefährdung der Lieferkette weiterentwickelt. Es geht nicht immer darum, bösartigen Code in Software-Updates einzuschleusen. Manchmal geht es darum, das Bindegewebe von Geschäftsdiensten ins Visier zu nehmen und Vertrauensbeziehungen auszunutzen, um unbemerkt in neue Umgebungen einzudringen.

Einem Feind der nächsten Stufe gegenüberstehen

Mandiant beschrieb UNC5221 als einen "sehr, sehr fortschrittlichen Gegner", und BRICKSTORM hat dies bewiesen. Diese Betreiber verließen sich nicht auf malware , die in verschiedenen Kampagnen wiederverwendet wurden. Sie bauten maßgeschneiderte Implantate, richteten für jedes Opfer eine eigene Infrastruktur ein und zerstörten Beweise, bevor die Einsatzkräfte sie einsammeln konnten. Jeder Schritt zeugt von Geduld und Disziplin.

Traditionelle Verteidigungssysteme sind für diese Art von Gegner nicht ausgelegt:

Gegen einen Akteur, der so viel in die Tarnung investiert, ist die einzige realistische Reaktion die Änderung des Erkennungsmodells.

Dieser Wandel bedeutet, dass wir uns auf das Verhalten und nicht auf Indikatoren konzentrieren. Es bedeutet, Aktivitäten in Netzwerk-, Identitäts- und cloud zu korrelieren, um die subtilen Muster aufzudecken, die kein einzelnes Tool isoliert erkennen kann. Alles andere hinterlässt Lücken, die ein entschlossener Angreifer über Monate oder sogar Jahre hinweg ausnutzen wird.

Mit Vectra AI die Lücken schließen

Die BRICKSTORM-Kampagne war darauf ausgelegt, im Rauschen zu verschwinden. Sie wurde über verschlüsselte cloud verbreitet, DNS innerhalb von HTTPS getunnelt, mit gültigen Anmeldedaten gepivotet und Daten über Monate hinweg im Stillen bereitgestellt. Dies sind genau die Arten von Verhaltensweisen, für die die Vectra AI entwickelt wurde.

Hier erfahren Sie, wie Vectra AI AI die Lücken schließt, die Angreifer ausnutzen:

Externe Kommunikation und Exfiltration

  • Verschlüsselter und verdeckter C2-Verkehr: Erweiterte C2-Analysen erkennen Domain Fronting, intermittierendes Beaconing, ungewöhnliche SaaS- oder cloud und verschlüsselte C2-Sitzungen. Modelle analysieren Anomalien in HTTP-Headern, Benutzeragenten, Zielseltenheit und Beaconing-Regelmäßigkeit, um verdecktes, von Mitarbeitern gehostetes C2 wie die Verwendung von HTTPS und WSS über cloud durch BRICKSTORM aufzudecken .
  • DNS-über-HTTPS-Auflösung: Die Erkennung von versteckten HTTPS-Tunneln und maschinelle Lernmodelle von Vectra erkennen DoH-Muster, die im verschlüsselten Datenverkehr versteckt sind. Dies zielt direkt auf die Verwendung von DoH durch BRICKSTORM zur verdeckten C2-Auflösung ab.
  • DNS- und Protokoll-Tunneling für Exfiltration: Wenn Angreifer auf DNS-Tunneling oder Datenexfiltration über C2 zurückgreifen, zeigen Vectras Hidden DNS Tunnel und ATT&CK-mapped Erkennungen sofort die anormalen Muster auf.

Interne Verbringung und Sammlung

  • Seitliche Bewegung und Erkundung: Wenn BRICKSTORM RDP- oder SMB-Verkehr weiterleitet und mit gültigen Anmeldeinformationen schwenkt, warnen Erkennungsfunktionen wie SMB Account Scan und Kerberos Account Scan vor Anmeldeinformationsmissbrauch und verdächtigen internen Sondierungen.
  • Staging und Sammlung: Der massenhafte Zugriff auf Repositorys, Codebasen oder Dateifreigaben löst Data Gathering-Erkennungen aus. Dies wirft ein Licht auf Angreifer, die Material für die Exfiltration vorbereiten, bevor es zu einem Datenverlust kommt.

Verteidigung in der Tiefe

  • Ergänzende IOC-Abdeckung: Für eine zusätzliche Verteidigung in der Tiefe können Vectra-Sensoren Suricata-basierte Regeln (SPA) ausführen, einschließlich Community-Signaturen wie die BRICKSTORM C2-Regel von NVISO, um verhaltensorientierte Analysen zu ergänzen.

Mit diesem mehrschichtigen Ansatz müssen SOC-Teams nicht nach einzigartigen Hashes oder Domänen suchen. Stattdessen können sie die Verhaltensweisen erkennen, die fortschrittliche Angreifer nicht verbergen können. Vectra AI korreliert Erkennungen über das Netzwerk, die Identität, SaaS und die cloud hinweg, macht unsichtbare Fußangeln zu sichtbaren Bedrohungen und verkürzt die Verweilzeit von Monaten auf wenige Augenblicke.

Schlussfolgerung: Von BRICKSTORM lernen

BRICKSTORM ist nicht nur eine weitere Hintertür. Es ist eine Erinnerung daran, dass die fortschrittlichsten Angreifer an den Stellen gedeihen, die von herkömmlichen Tools nicht abgedeckt werden. UNC5221 überlebte mehr als ein Jahr lang in Unternehmensnetzwerken, weil es in blinden Flecken operierte, Identitäten missbrauchte und Daten über Kanäle verschob, die legitim aussahen.

Verteidiger können sich nicht auf Indikatoren oder statische Signaturen verlassen, wenn Angreifer mit jedem Opfer die Infrastruktur wechseln. Was zählt, ist die Fähigkeit, Verhaltensweisen zu erkennen, die über Kampagnen hinweg konsistent bleiben, unabhängig davon, wie sehr sich die malware selbst verändert. Genau das bietet die Vectra AI .

Durch das Schließen von Erkennungslücken in den Bereichen Netzwerk, Identität, SaaS und cloud ermöglicht Vectra AI SOC-Teams, zu erkennen, was andere übersehen, und heimliche Operationen zu stoppen, bevor sie zu einer weiteren jahrelangen Kompromittierung werden.

Sehen Sie, wie Vectra AI AI Erkennungslücken beseitigt. Nehmen Sie noch heute an der selbstgeführten Demo teil.

Häufig gestellte Fragen