Агентство з кібербезпеки та захисту інфраструктури США (CISA) спільно з АНБ та Канадським центром кібербезпеки сьогодні оприлюднили оновлений звіт щодо аналізу шкідливого ПЗ BRICKSTORM. Цей бекдор, який раніше пов’язували з державними хакерами КНР, отримав значне оновлення. Нові зразки, виявлені в мережах державного та ІТ-секторів, тепер написані на мові Rust, що робить їх значно складнішими для виявлення традиційними антивірусними засобами. Оновлений BRICKSTORM демонструє просунуті механізми закріплення в системі: він маскується під фонові сервіси та використовує зашифровані з’єднання через WebSocket для зв’язку з командними серверами, що дозволяє йому ефективно оминати мережеві екрани та системи виявлення вторгнень.

CISA додала нові індикатори компрометації (IOC) та сигнатури YARA для виявлення цих нових варіантів. У звіті наголошується, що зловмисники використовують BRICKSTORM для тривалого шпигунства та викрадення конфіденційних даних у стратегічно важливих організаціях. Використання мови Rust свідчить про серйозні інвестиції з боку зловмисників у модернізацію свого арсеналу, оскільки цей код є безпечнішим щодо пам’яті (що заважає деяким методам автоматичного аналізу) і легше адаптується під різні архітектури. Організаціям рекомендовано негайно просканувати свої мережі на наявність нових сигнатур, оскільки прихована присутність цього бекдору може тривати місяцями без видимих ознак активності, що робить його однією з найскладніших загроз 2025 року.