Китайские злоумышленники использовали уязвимость нулевого дня с максимальным уровнем критичности, связанную с жестко закодированными учетными данными, в Dell RecoverPoint for Virtual Machines как минимум с середины 2024 года. Об этом сообщает команда реагирования на инциденты Google Mandiant. Это часть длительной кампании по внедрению бэкдоров в зараженные машины для обеспечения долгосрочного доступа.
Правительство США и Google впервые предупредили об этой кампании в прошлом году после обнаружения бэкдоров Brickstorm в десятках критически важных американских сетей.
Во вторник Dell раскрыла информацию и исправила критическую уязвимость (CVE-2026-22769), отметив, что злоумышленники нашли и использовали ее до выпуска исправления.
“Мы получили сообщение об ограниченной активной эксплуатации этой уязвимости, — сообщил The Register представитель Dell. — Клиентам настоятельно рекомендуется немедленно применить одно из решений, описанных” в консультативном уведомлении.
По данным Mandiant и Google Threat Intelligence Group, которые также опубликовали во вторник бюллетень безопасности об этой уязвимости нулевого дня Dell, предполагаемые злоумышленники, связанные с КНР, использовали CVE-2026-22769 для развертывания вредоносного ПО, включая Brickstorm и отдельный бэкдор под кодовым названием Grimbolt. В некоторых случаях они заменяли старые бинарные файлы Brickstorm на Grimbolt, а также создавали “Ghost NICs” (виртуальные сетевые интерфейсы) на виртуальных машинах для скрытого сетевого перемещения.
“Анализ инцидентов показал, что UNC6201, предполагаемая группа угроз, связанная с КНР, эксплуатировала эту уязвимость как минимум с середины 2024 года для бокового перемещения, поддержания постоянного доступа и развертывания вредоносного ПО, включая Slaystyle, Brickstorm и новый бэкдор под кодовым названием Grimbolt”, — заявили охотники за угрозами Google Питер Уханов, Дэниел Сислo, Ник Харбор, Джон Скарборо, Фернандо Томплинсон-мл. и Рич Рис.
Поскольку полный масштаб этой кампании неизвестен, мы рекомендуем организациям, ранее подвергавшимся атакам Brickstorm, следить за Grimbolt в своих средах.
На вопрос о масштабах эксплуатации менеджер Mandiant Consulting Рис, соавтор отчета, сообщил, что Mandiant известно о “менее чем дюжине” организаций, затронутых CVE-2026-22769. “Но поскольку полный масштаб этой кампании неизвестен, мы рекомендуем организациям, ранее подвергавшимся атакам Brickstorm, следить за Grimbolt в своих средах”, — сказал он The Register.
Новый и улучшенный бэкдор
В то время как более ранние версии бэкдора Brickstorm были написаны на Go, а затем на Rust, по данным Mandiant, в сентябре 2025 года злоумышленник заменил эти бинарные файлы на Grimbolt.
Grimbolt, написанный на C#, использует нативную компиляцию ahead-of-time (AOT) для преобразования кода языка программирования в машинный код перед запуском приложения. Он также упакован с помощью UPX, упаковщика исполняемых файлов, который сжимает нативные бинарные файлы, созданные AOT.
Эти функции снижают вероятность того, что вредоносное ПО вызовет срабатывание сигналов при статической анализе, и повышают производительность на устройствах с ограниченными ресурсами.
Grimbolt также предоставляет ту же функциональность удаленной оболочки и использует ту же инфраструктуру командного управления, что и предыдущее вредоносное ПО Brickstorm.
“UNC6201 обеспечили постоянный доступ с помощью Brickstorm и Grimbolt на Dell RecoverPoint for Virtual Machines, модифицировав легитимный скрипт оболочки convert_hosts.sh, добавив в него путь к бэкдору, — сообщили сотрудники Google. — Этот скрипт оболочки выполняется устройством при загрузке через rc.local”.
Кроме того, группа реагирования на инциденты обнаружила уязвимость нулевого дня Dell при расследовании среды жертвы, которая была заражена бэкдорами Brickstorm и Grimbolt.
Аналитики безопасности обнаружили “множественные веб-запросы” к уязвимым устройствам с использованием имени пользователя “admin” и направленные на установленный Apache Tomcat Manager.
Dell RecoverPoint for Virtual Machines использует Apache Tomcat в качестве веб-сервера, и специалисты по безопасности вскоре обнаружили, что злоумышленники использовали жестко закодированный пароль в Apache Tomcat для развертывания вредоносного WAR-файла, содержащего веб-оболочку Slaystyle.
“Это считается критическим, поскольку неаутентифицированный удаленный злоумышленник, знающий о жестко закодированных учетных данных, потенциально может использовать эту уязвимость, что приведет к несанкционированному доступу к базовой операционной системе и закреплению на уровне root”.
Кроме того, злоупотребив уязвимостью для эксплуатации устройств Dell, UNC6201 создали “Ghost NICs” — скрытые временные сетевые порты на существующих виртуальных машинах, работающих на сервере ESXi — чтобы глубже проникнуть в виртуальную инфраструктуру VMware жертв.
VMware не сразу ответила на запросы The Register.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) и CrowdStrike ранее предупреждали, что китайские злоумышленники нацеливаются на среды VMware организаций и используют Brickstorm для постоянного доступа.
“Государственные акторы не просто проникают в сети, — заявил в декабре Ник Андерсен, исполнительный помощник директора по кибербезопасности CISA. — Они внедряются, чтобы обеспечить долгосрочный доступ, нарушение и потенциальный саботаж”. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
