Introdução
Um grupo de ameaça cibernética ligado ao governo chinês, rastreado como VerdantBamboo, tem mantido acesso silencioso a redes corporativas por mais de um ano, utilizando um toolkit de malware personalizado para comprometer firewalls, sistemas de armazenamento e appliances de rede sem disparar alarmes tradicionais. A campanha veio à tona após tráfego de rede suspeito ser detectado em uma máquina virtual baseada em Linux, revelando uma operação sofisticada que explora falhas de configuração e bypass de controles de segurança padrão.
Contexto da Ameaça VerdantBamboo
O grupo VerdantBamboo, também conhecido como WARP PANDA e UNC5221, demonstrou um nível de paciência e precisão técnica que o distingue da maioria dos atores de ameaças operantes atualmente. A análise da Volexity, uma firma de inteligência de ameaças e resposta a incidentes, identificou que o grupo manteve acesso à rede da vítima por pelo menos 18 meses antes de ser descoberto. A persistência é uma característica marcante, com os atacantes reentrando na rede mesmo após serem evitados, utilizando credenciais administrativas roubadas para configurar túneis VPN próprios e implantar novos backdoors.
Análise do Malware BRICKSTORM
O BRICKSTORM é a principal ferramenta do VerdantBamboo para manter o controle sobre sistemas comprometidos, sendo deliberadamente projetado para prosperar em ambientes onde ferramentas tradicionais de monitoramento de segurança estão ausentes. O malware é construído em Golang com uma arquitetura modular, e sua funcionalidade é dividida em pacotes separados que permitem aos desenvolvedores personalizar cada implantação para o dispositivo alvo específico. No appliance Egnyte, o BRICKSTORM foi colocado no diretório /usr/sbin/ e lançado manualmente pelo ator da ameaça sempre que necessário, explorando uma regra de sudo mal configurada para obter privilégios elevados.
Vetor de Ataque e Persistência
A mesma variante do malware foi encontrada no firewall pfSense do MSP (Managed Services Provider) em uma variante compatível com FreeBSD, ofuscada com uma ferramenta chamada gobfuscate e configurada para executar automaticamente através de um arquivo de inicialização cron modificado. Ao lado do BRICKSTORM, a Volexity também identificou duas famílias de malware anteriormente não documentadas: PLENET, um backdoor multiplataforma compilado a partir do .NET Core usando Native AOT para dificultar a análise, e AGENTPSD, um reverse shell Python leve projetado como fallback caso o BRICKSTORM deixasse de funcionar.
Comprometimento de MSP e Cadeia de Suprimentos
O ataque revelou-se muito mais em camadas do que parecia inicialmente. O VerdantBamboo não apenas comprometeu os sistemas próprios da vítima, mas também invadiu o Managed Services Provider da organização. A partir daí, ganhou acesso a credenciais e detalhes de infraestrutura interna que lhe deram um ponto de apoio no ambiente da vítima através de um caminho que contornava controles de segurança padrão. O que torna essa intrusão especialmente notável é como o VerdantBamboo reentrou na rede mesmo após ser expulso. Uma vez que os appliances comprometidos foram desligados, os atacantes usaram credenciais administrativas roubadas para fazer login no firewall exposto da vítima, configuraram sua própria tunel VPN e empurraram um novo backdoor para um dispositivo NAS Synology.
Indicadores de Comprometimento (IoCs)
Os indicadores de comprometimento identificados incluem arquivos como egnyte_host_monitor_client (AGENTPSD), luserput (sbin) (BRICKSTORM Egnyte), blacklist (BRICKSTORM pfSense) e ovs-dbctl (PLENET). Hashes MD5, SHA1 e SHA256 foram documentados para cada amostra. O tráfego de C2 utiliza o servidor DNS público do Google (8.8.8.8) para resolução de consultas via DNS-over-HTTPS, escondendo-se atrás de endereços IP do Cloudflare. O fingerprint Censys utilizado para rastrear os servidores de comando e controle é banner_hash_sha256: e28a96f983b8605decd2ac1db16ebad5fa741a6aa4e585a38ade0e5ad7d6cec0.
Medidas de Mitigação Recomendadas
Organizações que executam appliances de borda, incluindo firewalls, dispositivos NAS e sistemas de sincronização de armazenamento, devem garantir que esses sistemas nunca sejam acessíveis diretamente da internet sem proteções de MFA em vigor. Contas com privilégios sudo devem ser auditadas para cadeias de permissão não intencionais. Sistemas que não podem executar agentes EDR precisam de controles compensatórios, como monitoramento de tráfego de rede, verificação de integridade de arquivos e políticas de acesso estritas para detectar o comprometimento silencioso e de longo prazo no qual o VerdantBamboo é especialista. A falha de escalonamento de privilégio local no sistema Egnyte Storage Sync foi relatada e corrigida na versão 13.13.
Conclusão
A atividade do VerdantBamboo destaca a necessidade de monitoramento contínuo de dispositivos de borda e appliances de rede, especialmente aqueles que não possuem agentes de segurança tradicionais. A capacidade do grupo de persistir e reentrar na rede após a remoção inicial de ameaças exige uma postura de segurança que vá além da detecção pontual, focando na visibilidade completa da infraestrutura e na gestão rigorosa de privilégios.