BRICKSTORM: backdoor sofisticado que mira VMware vSphere (vCenter/ESXi)
A CISA publicou análise sobre o BRICKSTORM, um backdoor associado a operações patrocinadas por Estado que atinge plataformas VMware vSphere — com ênfase em servidores vCenter e ambientes ESXi.
O que a análise descreve
O relatório, originalmente liberado em dezembro de 2025 e atualizado até janeiro de 2026, detalha amostras e mecanismos do malware. Os analistas identificaram 11 amostras: oito compiladas em Go e três variantes mais recentes em Rust.
Vetor de infecção e persistência
- Ganho inicial de acesso via servidores web comprometidos em zonas DMZ.
- Movimento lateral com uso de credenciais de contas de serviço e conexões RDP para alcançar servidores vCenter, onde o malware é carregado.
- Instalação em diretórios do sistema (ex.: /etc/sysconfig/) e alteração de scripts de inicialização para execução no boot.
- Mecanismo de auto‑recuperação: BRICKSTORM monitora sua execução e, se detecta interrupção, reinstala‑se automaticamente a partir de caminhos predefinidos.
Comunicação e capacidades
O malware estabelece conexões cifradas com servidores de comando e controle via DNS‑over‑HTTPS (usando resolvers públicos como Cloudflare, Google e Quad9), e depois atualiza para sessões WebSocket com camadas adicionais de criptografia. Através dessas conexões, operadores obtêm shell interativo, navegam em sistemas de arquivos, transferem arquivos e criam proxies SOCKS para movimento lateral.
Detecção e mitigação
Para suportar esforços de detecção, a CISA liberou seis regras YARA e uma regra Sigma específicas para identificar amostras de BRICKSTORM. Entre as recomendações estão upgrade dos servidores VMware vSphere, segmentação de rede e bloqueio de provedores de DoH não autorizados.
Contexto operacional
Um caso investigado pela CISA envolveu persistência de ator entre abril de 2024 e setembro de 2025, período no qual atacantes acessaram controladores de domínio e comprometeram um servidor AD FS para exportar chaves criptográficas. O padrão de movimento mostra progressão típica: servidor web comprometido → controladores de domínio → vCenter.
O que falta
O material disponível descreve capacidades técnicas, amostras e mitigações, mas não publica uma lista exaustiva de IoCs no texto consultado (além das regras YARA/Sigma mencionadas) nem quantifica o número total de vítimas. A CISA solicita que organizações reportem quaisquer detecções.
Recomendações para defensores
- Aplicar as regras YARA/Sigma fornecidas pela CISA nas ferramentas de detecção.
- Reforçar segmentação entre planos de gestão (vCenter) e workloads.
- Auditar acessos e credenciais de serviço e revisar logs de RDP e upload para vCenter.
- Bloquear ou monitorar uso de resolvers DoH não aprovados.
Dada a orientação da CISA e a capacidade de persistência e auto‑recuperação do malware, ambientes virtualizados devem priorizar verificações imediatas e respostas coordenadas entre times de infraestrutura e IR.