CISA warns of Chinese “BrickStorm” malware attacks on VMware servers

2 minute de lecture

Mis à jour : December 04, 2025

Menace “BrickStorm” : L’infiltration des serveurs VMware par des acteurs malveillants chinois

Des agences de cybersécurité américaines et canadiennes ont émis une alerte concernant des attaques ciblées par un groupe malveillant chinois, visant les serveurs VMware vSphere avec le logiciel malveillant “BrickStorm”. Ce dernier permet aux attaquants de créer des machines virtuelles cachées et de voler des informations d’identification sensibles.

Points clés de l’attaque :

Ciblage spécifique : Les attaquants privilégient les serveurs VMware vSphere pour établir une présence discrète.
Techniques d’évasion : Utilisation de multiples couches de chiffrement (HTTPS, WebSockets, TLS imbriqué) pour sécuriser les communications, d’un proxy SOCKS pour les déplacements latéraux et du DNS-over-HTTPS (DoH) pour masquer leurs activités.
Persistance : Le logiciel malveillant possède une fonction d’auto-surveillance pour assurer sa réinstallation en cas d’interruption.
Méthodologie : L’infiltration commence souvent par un serveur web en zone démilitarisée (DMZ), suivie d’une progression vers des serveurs internes comme VMware vCenter, des contrôleurs de domaine et des serveurs ADFS pour l’exportation de clés cryptographiques.
Vol de données : Les attaquants capturent des informations de la base de données Active Directory et effectuent des sauvegardes système pour subtiliser des identifiants légitimes et d’autres données sensibles.
Lien avec des groupes connus : Les attaques sont associées au groupe “Warp Panda” et à des activités malveillantes antérieures impliquant l’exploitation de failles zero-day dans des produits Ivanti.

Vulnérabilités exploitées :

L’article ne détaille pas de CVE spécifiques associées à “BrickStorm” ou aux vulnérabilités utilisées pour l’accès initial. Cependant, il est mentionné que le groupe derrière “BrickStorm” a été impliqué dans l’exploitation de zero-days Ivanti pour accéder à des systèmes.

Recommandations de sécurité :

Détection : Utiliser les règles YARA et Sigma fournies par les agences pour rechercher les activités suspectes de “BrickStorm”.
Blocage du trafic : Interdire les fournisseurs DNS-over-HTTPS non autorisés et le trafic externe suspect.
Inventaire des appareils : Réaliser un inventaire complet des dispositifs situés en périphérie du réseau et surveiller les activités anormales.
Segmentation du réseau : Mettre en place une segmentation réseau pour limiter le trafic entre les zones démilitarisées et les réseaux internes.
Signalement : En cas de détection de “BrickStorm” ou d’activités similaires, il est impératif de signaler l’incident aux autorités compétentes conformément aux lois et politiques en vigueur.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CISA warns of Chinese “BrickStorm” malware attacks on VMware servers

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast