CISA 中華人民共和国国家支援アクターによる公共部門及び情報技術システムへのBRICKSTORMマルウェア利用 (2025.12.04)

こんにちは、丸山満彦です。

中華人民共和国の国家支援アクターが公共部門、IT部門にBRICSTORMを利用した攻撃をしていると警告を出していますね...

BRICKSTORMは長期潜伏メカニズムがり、妨害された場合にマルウェアを自動再インストールまたは再起動する自己監視機能もあって、継続的に潜伏し、いざという時に作動させることができるようになっているようですね...

 

 

● CISA

・2025.12.04 PRC State-Sponsored Actors Use BRICKSTORM Malware Across Public Sector and Information Technology Systems

 

PRC State-Sponsored Actors Use BRICKSTORM Malware Across Public Sector and Information Technology Systems	中華人民共和国国家支援アクターによる公共部門及び情報技術システムへのBRICKSTORMマルウェア利用
The Cybersecurity and Infrastructure Security Agency (CISA) is aware of ongoing intrusions by People’s Republic of China (PRC) state-sponsored cyber actors using BRICKSTORM malware for long-term persistence on victim systems. BRICKSTORM is a sophisticated backdoor for VMware vSphere1,2 and Windows environments.3 Victim organizations are primarily in the Government Services and Facilities and Information Technology Sectors. BRICKSTORM enables cyber threat actors to maintain stealthy access and provides capabilities for initiation, persistence, and secure command and control. The malware employs advanced functionality, including multiple layers of encryption (e.g., HTTPS, WebSockets, and nested TLS), DNS-over-HTTPS (DoH) to conceal communications, and a SOCKS proxy to facilitate lateral movement and tunneling within victim networks. BRICKSTORM also incorporates long-term persistence mechanisms, such as a self-monitoring function that automatically reinstalls or restarts the malware if disrupted, ensuring its continued operation.	サイバーセキュリティ・インフラセキュリティ庁（CISA）は、中華人民共和国（PRC）が支援するサイバー攻撃者がBRICKSTORMマルウェアを用いて被害システムに長期潜伏する侵入活動を継続していることを把握している。BRICKSTORMはVMware vSphere1,2およびWindows環境3向けの高度なバックドアである。被害組織は主に政府サービス・施設部門および情報技術部門に集中している。BRICKSTORMはサイバー脅威アクターにステルスアクセスを維持させ、侵入開始・持続的活動・安全なコマンド＆コントロール機能を可能にする。このマルウェアは高度な機能を備えており、コミュニケーション隠蔽のための複数層の暗号化（例：HTTPS、WebSockets、ネストされたTLS）、DNS-over-HTTPS（DoH）、被害者ネットワーク内での横方向移動とトンネリングを容易にするSOCKSプロキシなどを採用している。BRICKSTORMは長期潜伏メカニズムも備えており、妨害された場合にマルウェアを自動再インストールまたは再起動する自己監視機能により、継続的な動作を保証する。
The initial access vector varies. In one confirmed compromise, PRC state-sponsored cyber actors accessed a web server inside the organization’s demilitarized zone (DMZ), moved laterally to an internal VMware vCenter server, then implanted BRICKSTORM malware. See CISA, the National Security Agency, and Canadian Cyber Security Centre’s (Cyber Centre’s) joint Malware Analysis Report (MAR) BRICKSTORM Backdoor for analysis of the BRICKSTORM sample CISA obtained during an incident response engagement for this victim. The MAR also discusses seven additional BRICKSTORM samples, which exhibit variations in functionality and capabilities, further highlighting the complexity and adaptability of this malware.	初期侵入経路は様々である。確認された侵害事例の一つでは、中国政府が支援する国家支援アクターが組織の非武装地帯（DMZ）内のWebサーバーにアクセスし、内部のVMware vCenterサーバーへ横展開した後、BRICKSTORMマルウェアを埋め込んだ。被害者へのインシデント対応支援中にCISAが入手したBRICKSTORMサンプルの分析については、CISA・国家安全保障局（NSA）・カナダサイバーセキュリティセンター（Cyber Centre）の共同マルウェア分析報告書（MAR）「BRICKSTORMバックドア」を参照のこと。同MARでは機能・能力に差異が見られる追加のBRICKSTORMサンプル7種についても言及しており、本マルウェアの複雑性と適応性をさらに浮き彫りにしている。
After obtaining access to victim systems, PRC state-sponsored cyber actors obtain and use legitimate credentials by performing system backups or capturing Active Directory database information to exfiltrate sensitive information. Cyber actors then target VMware vSphere platforms to steal cloned virtual machine (VM) snapshots for credential extraction and create hidden rogue VMs to evade detection.	被害システムへのアクセス権を取得後、中国国家が支援するサイバー攻撃者は、システムバックアップの実行やActive Directoryデータベース情報の取得を通じて正当な認証情報を入手・利用し、機密情報を流出させる。その後、VMware vSphereプラットフォームを標的とし、認証情報抽出のために複製された仮想マシン（VM）スナップショットを窃取し、検知回避のために隠蔽された不正VMを作成する。
CISA recommends that network defenders hunt for existing intrusions and mitigate further compromise by taking the following actions:	CISAはネットワーク防御担当者が既存の侵入を検知し、さらなる侵害の緩和を図るため、以下の措置を講じることを推奨する：
・Scan for BRICKSTORM using CISA-created YARA and Sigma rules; see joint MAR BRICKSTORM Backdoor.	・CISA作成のYARAおよびSigmaルールを用いてBRICKSTORMをスキャンする。詳細は共同MAR BRICKSTORMバックドアを参照。
・Block unauthorized DNS-over-HTTPS (DoH) providers and external DoH network traffic to reduce unmonitored communications.	・監視対象外の通信を減らすため、不正なDNS-over-HTTPS（DoH）プロバイダと外部DoHネットワークトラフィックを遮断する。
・Take inventory of all network edge devices and monitor for any suspicious network connectivity originating from these devices.	・全てのネットワークエッジデバイスを棚卸しし、これらのデバイスから発生する不審なネットワーク接続を監視する。
・Ensure proper network segmentation that restricts network traffic from the DMZ to the internal network.	・DMZから内部ネットワークへのネットワークトラフィックを制限する適切なネットワークセグメンテーションを確保する。
See joint MAR BRICKSTORM Backdoor for additional detection resources. If BRICKSTORM, similar malware, or potentially related activity is detected, report the incident to CISA’s 24/7 Operations Center at contact@cisa.dhs.gov or (888) 282-0870.	追加の検知リソースについては、共同MAR BRICKSTORMバックドアを参照のこと。BRICKSTORM、類似マルウェア、または関連する可能性のある活動が検知された場合、CISAの24時間365日対応オペレーションセンター（contact@cisa.dhs.gov または (888) 282-0870）にインシデントを報告すること。
Disclaimer: The information in this report is being provided “as is” for informational purposes only. CISA does not endorse any commercial entity, product, company, or service, including any entities, products, or services linked within this document. Any reference to specific commercial entities, products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favoring by CISA.	免責事項：本報告書の情報は「現状のまま」情報提供のみを目的として提供される。CISAは、本文書内でリンクされている事業体、製品、サービスを含むいかなる商業的事業体、製品、会社、サービスも推奨しない。サービスマーク、商標、製造事業者その他の方法で特定の商業的事業体、製品、プロセス、サービスに言及しても、CISAによる推奨、推奨、または優遇を構成または示唆するものではない。
Notes	注記
1 Matt Lin et al., “Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies,” Google Cloud Blog, April 4, 2024, [web].	1 Matt Lin et al., 「Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies」, Google Cloud Blog, 2024年4月4日, [web].
2 Maxime, “NVISO analyzes BRICKSTORM espionage backdoor,” NVISO, April 15, 2025, [web]	2 マキシム、「NVISOがBRICKSTORMスパイバックドアを分析」、NVISO、2025年4月15日、[web].
3 Sarah Yoder et al., “Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors,” Google Cloud Blog, September 24, 2025, [web].	3 Sarah Yoder et al., 「別のBRICKSTORM：技術・法務分野へのスパイ活動を可能にするステルス型バックドア」Google Cloud Blog, 2025年9月24日, [web].

 

・BRICKSTORM Backdoor Alert Code AR25-338A

・[PDF]