Китайская группа кибершпионажа использовала уязвимость нулевого дня в Dell RecoverPoint for Virtual Machines для получения доступа к системе. Уязвимость CVE-2026-22769 позволяла выполнять команды с правами root. Исправлена Dell. — csoonline.com
В течение последних 18 месяцев китайская группа кибершпионажа использовала ранее неизвестную уязвимость в Dell RecoverPoint for Virtual Machines — решении для аварийного восстановления виртуальных машин. Эта уязвимость, исправленная Dell на этой неделе, позволяет злоумышленникам без аутентификации выполнять команды в операционной системе с правами root.
Уязвимость, отслеживаемая как CVE-2026-22769, связана с жестко закодированными учетными данными администратора для Apache Tomcat Manager, которые могут быть использованы для развертывания вредоносных WAR-файлов (Web Application Archive). Apache Tomcat — это веб-сервер для веб-приложений на основе Java.
Исследователи из команды Mandiant Google обнаружили критическую уязвимость при расследовании нескольких скомпрометированных экземпляров Dell RecoverPoint for Virtual Machines в среде заказчика, которые отправляли трафик командно-контрольной инфраструктуры (C2), связанный с двумя бэкдорами, известными как BRICKSTORM и GRIMBOLT. Эти бэкдоры используются связанной с Китаем APT-группой, которую Mandiant отслеживает как UNC6201 и которая известна тем, что нацеливается на корпоративную инфраструктуру, связанную с VMware.
Dell RecoverPoint for Virtual Machines — это устройство репликации и защиты данных для сред VMware, что делает его привлекательной целью для этой группы. Новая уязвимость затрагивает версии 5.3 SP4 P1, 6.0, 6.0 SP1, 6.0 SP1 P1, 6.0 SP1 P2, 6.0 SP2, 6.0 SP2 P1, 6.0 SP3 и 6.0 SP3 P1. Настоятельно рекомендуется обновить ПО до исправленной версии 6.0.3.1 HF1, но если это невозможно немедленно, Dell также выпустила скрипт для устранения уязвимости.
Злоумышленники перешли с BRICKSTORM на GRIMBOLT
Деятельность UNC6201 в значительной степени пересекается с другой группой, которую Mandiant и Google Threat Intelligence Group (GTIG) отслеживают как UNC5221, известную тем, что использует эксплойты нулевого дня для атак на сетевые периферийные устройства. Другие компании по кибербезопасности приписывают эту активность китайской государственной хакерской группе Silk Typhoon или APT27, но Google считает, что это другой злоумышленник.
За последние несколько лет UNC5221 скомпрометировала сети американских юридических фирм, поставщиков SaaS, аутсорсеров бизнес-процессов и технологических компаний, развернув Linux-бэкдор BRICKSTORM и веб-шелл SLAYSTYLE, установленный на скомпрометированных развертываниях vCenter.
BRICKSTORM и SLAYSTYLE также были замечены при новых компрометациях Dell RecoverPoint, приписываемых UNC6201. Однако злоумышленник также развернул новый бэкдор под названием GRIMBOLT.
«GRIMBOLT — это бэкдор-«точка входа», написанный на C#, скомпилированный с использованием нативной компиляции ahead-of-time (AOT) и упакованный с помощью UPX», — заявили исследователи Mandiant. «Он предоставляет возможность удаленного доступа к командной строке и использует ту же командно-контрольную инфраструктуру, что и ранее развернутый бэкдор BRICKSTORM».
Существуют свидетельства того, что UNC6201 использовала CVE-2026-22769 с середины 2024 года для развертывания веб-шелла SLAYSTYLE. Однако замена BRICKSTORM на GRIMBOLT произошла только в сентябре 2025 года. Неясно, было ли это результатом запланированной итерации или реакцией на то, что BRICKSTORM был разоблачен Mandiant и другими компаниями по безопасности примерно в то же время.
Методы закрепления
Помимо самих вредоносных программ, расследование выявило и новые методы. Например, легитимный скрипт оболочки convert_hosts.sh, существующий на этих устройствах, был изменен для включения пути к бэкдорам с целью обеспечения персистентности.
Веб-шелл SLAYSTYLE, предназначенный для приема команд через HTTP и их выполнения в системе, использовался для настройки правил прокси через утилиту Linux iptables. В частности, входящий трафик на порт 443 (HTTPS), содержащий определенную HEX-строку, бесшумно перенаправлялся на порт 10443 в течение следующих 5 минут.
Еще одним новым методом было создание временных сетевых портов на существующих виртуальных машинах на серверах VMware ESXi для доступа к другим службам внутри сред.
Чарльз Кармакал, технический директор Mandiant, описал этот метод в LinkedIn как развертывание «призрачных сетевых интерфейсов на виртуальных машинах для уклонения от защитников», поскольку он заставлял следователей преследовать сетевую активность с IP-адресов, которые больше не существовали и никогда не были задокументированы.
Сетевые периферийные устройства стали распространенной точкой входа в корпоративные сети для изощренных атакующих. Эти устройства обычно не охватываются решениями для ведения журналов, им не хватает обнаружения вредоносных программ на конечных точках, но при этом они содержат множество учетных данных и предоставляют отличные точки для перехода к внутренним службам.
Dell рекомендует развертывать RecoverPoint for VMs внутри доверенной, контролируемой сети за соответствующими межсетевыми экранами и сегментацией, а не на общедоступной инфраструктуре. Тем временем, в блоге Mandiant приведены индикаторы компрометации и правила обнаружения YARA для новых вредоносных программ GRIMBOLT и SLAYSTYLE.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin