Предполагаемая китайская хакерская группа использует критическую уязвимость Dell в атаках нулевого дня с середины 2024 года. Исследователи выявили использование эксплойта CVE-2026-22769 в Dell RecoverPoint, развертывание нового бэкдора Grimbolt и скрытые сетевые интерфейсы на серверах VMware ESXi. — bleepingcomputer.com
Предполагаемая группа хакеров, связанная с китайским государством, незаметно использовала критическую уязвимость безопасности Dell в атаках нулевого дня, начавшихся в середине 2024 года.
Исследователи безопасности из Mandiant и Google Threat Intelligence Group (GTIG) сообщили сегодня, что группа UNC6201 использовала уязвимость с максимальной степенью серьезности, связанную с жестко закодированными учетными данными (CVE-2026-22769), в Dell RecoverPoint for Virtual Machines — решении для резервного копирования и восстановления виртуальных машин VMware.
«Dell RecoverPoint for Virtual Machines, версии до 6.0.3.1 HF1, содержат уязвимость, связанную с жестко закодированными учетными данными», — поясняет Dell в бюллетене безопасности, опубликованном во вторник.
«Это считается критическим, поскольку неаутентифицированный удаленный злоумышленник, знающий жестко закодированные учетные данные, потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу к базовой операционной системе и сохранению прав root. Dell рекомендует клиентам как можно скорее обновить систему или применить одно из средств устранения уязвимости».
Попав в сеть жертвы, UNC6201 развернула несколько вредоносных программ, включая недавно обнаруженную бэкдор-программу Grimbolt. Написанная на C# и созданная с использованием относительно новой техники компиляции, эта вредоносная программа предназначена для более быстрого и сложного анализа, чем ее предшественник — бэкдор под названием Brickstorm.
Хотя исследователи наблюдали, как группа заменила Brickstorm на Grimbolt в сентябре 2025 года, остается неясным, было ли это запланированным обновлением или «реакцией на действия по реагированию на инциденты, предпринятые Mandiant и другими отраслевыми партнерами».
Целевые серверы VMware ESXi
Злоумышленники также использовали новые методы для проникновения глубже в виртуализированную инфраструктуру жертв, включая создание скрытых сетевых интерфейсов (так называемых Ghost NICs) на серверах VMware ESXi для незаметного перемещения по сетям жертв.
«UNC6201 использует временные виртуальные сетевые порты (также известные как “Ghost NICs”) для перехода от скомпрометированных ВМ к внутренним средам или средам SaaS — это новая техника, которую Mandiant ранее не наблюдала в своих расследованиях», — сообщил BleepingComputer менеджер по коммуникациям Mandiant Марк Караян.
«В соответствии с предыдущей кампанией BRICKSTORM, UNC6201 продолжает нацеливаться на устройства, на которых обычно отсутствуют традиционные агенты обнаружения и реагирования на конечных точках (EDR), чтобы оставаться необнаруженными в течение длительного времени».
Исследователи обнаружили совпадения между UNC6201 и отдельным китайским кластером угроз UNC5221, известным использованием уязвимостей нулевого дня Ivanti для атак на правительственные учреждения с использованием пользовательских вредоносных программ Spawnant и Zipline, а также ранее связанным с печально известной китайской группой Silk Typhoon (хотя GTIG не считает их идентичными).
В сентябре GTIG добавила, что хакеры UNC5221 использовали Brickstorm (впервые задокументированный дочерней компанией Google Mandiant в апреле 2024 года) для получения долгосрочной устойчивости в сетях нескольких американских организаций в юридическом и технологическом секторах, в то время как CrowdStrike связала атаки вредоносного ПО Brickstorm, нацеленные на серверы VMware vCenter юридических, технологических и производственных компаний в США, с китайской группой хакеров, которую они отслеживают как Warp Panda.
Чтобы заблокировать текущие атаки CVE-2026-22769, клиентам Dell рекомендуется следовать рекомендациям по устранению уязвимости, изложенным в этом бюллетене безопасности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan