Πρόσφατη έρευνα αποκαλύπτει μια ανησυχητική εξέλιξη στον τομέα της κυβερνοασφάλειας: η γνωστή ομάδα κατασκοπείας UNC5221, γνωστή επίσης ως VerdantBamboo, έχει αποκτήσει πρόσβαση σε περιβάλλοντα του Microsoft 365 μέσω μιας κερκόπορτας ονόματι Brickstorm. Ανάμεσα στα κακόβουλα εργαλεία που χρησιμοποιούν περιλαμβάνονται το Plenet και το AgentPSD, τα οποία επιτρέπουν στους εισβολείς να παραμένουν ανώνυμοι και μυστικοί.
Η έρευνα έδειξε ότι οι επιτιθέμενοι είχαν διατηρήσει την πρόσβαση στα δίκτυα των θυμάτων τους τουλάχιστον 18 μήνες πριν από τον εντοπισμό των παραβιάσεων, γεγονός που υποδεικνύει σοβαρές ελλείψεις στην ασφάλεια και την παρακολούθηση των συστημάτων.
Στιγμιότυπα από την κατάσταση
Η UNC5221 έχει χρησιμοποιήσει την κερκόπορτα Brickstorm για να παρακολουθεί ανενόχλητη διάφορους στόχους στις Ηνωμένες Πολιτείες, μέχρι την πλήρη ανίχνευσή της το Μάρτιο του 2025. Οι ερευνητές χαρακτηρίζουν το Brickstorm ως ένα προηγμένο εμφύτευμα κακόβουλου λογισμικού, με αρχικές παραλλαγές γραμμένες σε Golang, ενώ αργότερα εμφανίστηκαν και νέες εκδοχές σε Rust.
Η Google έχει ήδη τεκμηριώσει την δραστηριότητα αυτής της ομάδας, σημειώνοντας ότι έχει επιτεθεί σε νομικές υπηρεσίες, παρόχους λογισμικού ως υπηρεσία και άλλες εταιρείες τεχνολογίας. Αξιοσημείωτο είναι ότι η CISA έχει εκδώσει προειδοποιήσεις για την απειλή του Brickstorm, εστιάζοντας στα αδύνατα σημεία των διακομιστών VMware vSphere.
Διπλές εισβολές και παραλλαγές
Προηγούμενη έρευνα από την Volexity αποκάλυψε ότι το VerdantBamboo παραβίασε ένα σύστημα Egnyte Storage Sync και είχε συνεχείς επισκέψεις στο περιβάλλον του θύματος μέσω του SSL VPN από το διαδίκτυο. Χρησιμοποιώντας τις δυνατότητες της κερκόπορτας Brickstorm και κλεμμένα διαπιστευτήρια, οι επιτιθέμενοι μπορούσαν να εισβάλλουν στο περιβάλλον του Microsoft 365.
Οι ερευνητές παρατήρησαν ότι η Volexity καταγράφει με μεγάλη πιθανότητα ότι η κίνηση στα δίκτυα συνδυαζόταν με νόμιμες λειτουργίες, γεγονός που τους επέτρεψε να αποφύγουν τις πολιτικές πρόσβασης που θα μπορούσαν να τους αποκλείσουν.
Αξιοσημείωτο είναι πως οι χάκερ εκμεταλλεύτηκαν την παραβίαση του οργανισμού, επαναλαμβάνοντας επιθέσεις ακόμα και μετά την ολοκλήρωση των προσπαθειών αποκατάστασης. Στη δεύτερη εισβολή, χρησιμοποιήθηκαν κλεμμένα διαπιστευτήρια για την ενεργοποίηση πρόσβασης μέσω SSL VPN και στην ανάπτυξη επιπλέον κακόβουλου λογισμικού σε υποδομές του οργανισμού.
Νέες κερκόπορτες και τα σχέδιά τους
Η UNC5221 φαίνεται να είναι έτοιμη να αναπτύξει το νέο της κακόβουλο λογισμικό Plenet, που προσφέρει πολλές δυνατότητες, όπως απομακρυσμένη εκτέλεση εντολών και σύνδεση σε διακομιστές. Το Plenet είναι σχεδιασμένο για να ελέγχει πως η επιτυχής πρόσβαση δεν εντοπίζεται από τις συνήθεις λύσεις ασφαλείας.
Μέσα από αυτή την εξελιγμένη επιχείρηση, οι ερευνητές από την Volexity έχουν παρατηρήσει ότι η UNC5221 εργαστεί με διαφορετικές παραλλαγές του Brickstorm, εξασφαλίζοντας την επιμονή της πρόσβασης στα δίκτυα των θυμάτων.
Οι ερευνητές συνέταξαν έναν κατάλογο δείκτων συμβιβασμού (IOC) που αφορά την εκστρατεία UNC5221 και τον δημοσίευσαν [εδώ](https://github.com/volexity/threat-intel/tree/main/2026/2026-06-04%20VerdantBamboo).
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχών επιθέσεων και ενημερώνουν μόλις το 14%. Είναι καιρός να προσαρμόσουμε τις στρατηγικές και τις τεχνολογίες ασφάλειας για να εμποδίσουμε τις επιθέσεις από τις πιο εξελιγμένες απειλές.
Η άποψη του TechNoid.gr
Η πρόσφατη δραστηριότητα της UNC5221 αποτελεί ένα σοβαρό σignal για τις επιχειρήσεις, ενισχύοντας την ανάγκη για προληπτικά μέτρα κυβερνοασφάλειας. Η παρατεταμένη παραμονή των εισβολέων μας υπενθυμίζει τη σημασία της διαρκούς παρακολούθησης και των αναβαθμίσεων των συστημάτων ασφαλείας. Αν και δεν μπορεί να γίνει πλήρης απεξάρτηση από τις απειλές, η εκπαίδευση και η ετοιμότητα είναι οι καλύτεροι τρόποι αντίκρουσης ενός συνεχώς εξελισσόμενου τοπίου κυβερνοεπιθέσεων.
