BRICKSTORM-Backdoor: CISA warnt vor neuer Malware-Variante aus China

US-Behörden dokumentieren weiterentwickelte Schadsoftware für Virtualisierungsplattformen

Die amerikanische Cybersecurity-Behörde CISA hat ihren Analysebericht zur BRICKSTORM-Backdoor um neue Erkenntnisse erweitert. In Zusammenarbeit mit der National Security Agency und dem kanadischen Cyber Security Centre wurden Informationen zu einer veränderten Malware-Version veröffentlicht, die auf .NET Native Ahead-of-Time-Kompilierung basiert. Diese Entwicklung macht die Schadsoftware flexibler und erschwert gleichzeitig ihre Identifizierung durch Sicherheitssysteme.

Technische Merkmale der aktualisierten Variante

Die neu dokumentierte Version weist ähnliche Grundfunktionen wie bereits bekannte BRICKSTORM-Samples auf. Dazu gehören Initialisierungsroutinen sowie Command-and-Control-Mechanismen, die mehrschichtige Verschlüsselung zur Tarnung der Datenkommunikation einsetzen. Ein wesentlicher Unterschied zu früheren Versionen liegt im Fehlen integrierter Selbstüberwachungsmechanismen, die normalerweise die dauerhafte Präsenz im System gewährleisten.

Der aktualisierte Bericht liefert eine detaillierte Funktionsanalyse der Variante und stellt neue YARA-Regeln zur Verfügung, die Sicherheitsteams bei der Erkennung unterstützen sollen. CISA empfiehlt allen Einrichtungen, die VMware vSphere nutzen, die überarbeiteten Analyseunterlagen zu prüfen und entsprechende Schutzmaßnahmen umzusetzen. Besonders Organisationen aus dem öffentlichen Sektor und IT-Branche sollten die Hinweise beachten.

Hintergrund zur Bedrohung

CISA, NSA und das kanadische Cyber Centre ordnen den Einsatz von BRICKSTORM staatlich unterstützten Akteuren aus China zu. Die Schadsoftware dient der langfristigen Kompromittierung von Zielsystemen. Für den aktualisierten Bericht wurden insgesamt zwölf Malware-Proben analysiert und daraus Kompromittierungsindikatoren sowie Erkennungssignaturen abgeleitet. Die Behörden appellieren an Organisationen, diese technischen Informationen zur Identifizierung von BRICKSTORM-Infektionen zu nutzen.

Die Erstveröffentlichung des Analyseberichts erfolgte am 4. Dezember 2025. Seither wurde das Dokument dreimal aktualisiert: Am 19. Dezember 2025 kamen Indikatoren und Signaturen für drei weitere Proben hinzu, am 20. Januar 2026 zusätzliche Erkennungssignaturen. Die jüngste Aktualisierung vom 11. Februar 2026 umfasst nun Analysen zu einer weiteren Probe, die sich als eigenständige Variante von den bisherigen Samples unterscheidet.

Zielgerichtete Angriffe auf Virtualisierungsinfrastruktur

BRICKSTORM ist auf VMware vSphere spezialisiert, insbesondere auf VMware vCenter-Server, VMware ESXi und VMware Aria Automation Orchestrator. Auch Windows-Umgebungen können betroffen sein. Hauptsächlich richten sich die Angriffe gegen Einrichtungen aus den Sektoren öffentliche Verwaltung und Informationstechnologie.

Nach erfolgreicher Kompromittierung von VMware vSphere-Plattformen können Angreifer über die vCenter-Verwaltungskonsole Snapshots virtueller Maschinen kopieren. Dies ermöglicht die Extraktion von Zugangsdaten und das Anlegen versteckter, nicht autorisierter virtueller Maschinen. CISA hat zu dieser Angriffsmethode eine separate Warnmeldung publiziert, die den Einsatz von BRICKSTORM durch chinesische APT-Gruppen im öffentlichen Sektor und der IT-Industrie dokumentiert.

Dokumentierter Angriffsfall

In einem von CISA begleiteten Incident-Response-Einsatz verschafften sich die Angreifer im April 2024 dauerhaften Zugang zum internen Netzwerk einer Organisation. Sie installierten BRICKSTORM auf einem VMware vCenter-Server und erlangten zudem Kontrolle über zwei Domänencontroller sowie einen Active Directory Federation Services-Server. Bei der Kompromittierung des ADFS-Servers gelang es ihnen, kryptografische Schlüssel zu extrahieren. Der Zugriff mittels BRICKSTORM bestand mindestens von April 2024 bis zum 3. September 2025.

Empfohlene Maßnahmen

Die Behörden stellen verschiedene Ressourcen zur Verfügung. Die Kompromittierungsindikatoren sind in drei separaten Dokumenten verfügbar, die am 4. Dezember 2025, 19. Dezember 2025 und 11. Februar 2026 publiziert wurden. Zusätzlich werden YARA- und Sigma-Regeln zur Erkennung bereitgestellt. Die Sigma-Regeln können als YAML-Datei heruntergeladen werden.

Organisationen sollten die bereitgestellten Indikatoren und Signaturen aktiv zur Identifizierung von BRICKSTORM-Infektionen einsetzen. Bei Entdeckung der Malware oder damit verbundener verdächtiger Aktivitäten ist eine umgehende Meldung an CISA, das kanadische Cyber Centre oder die zuständigen nationalen Stellen erforderlich.

Vielleicht gefällt Ihnen auch:

---

Bild/Quelle: https://depositphotos.com/de/home.html