中国関連の攻撃者は、2024年半ば以来、Dell RecoverPoint for Virtual Machinesのハードコードされた認証情報バグという最大深刻度の脆弱性をゼロデイとして悪用している。これは、感染したマシンにバックドアを仕込んで長期的なアクセスを確保するという長期的な活動の一部であると、DellおよびGoogleのMandiant事故対応チームが述べている。
米国政府とGoogleは、数十の重要な米国ネットワークにおいてBrickstormバックドアを検出した後、昨年この活動について警告を発した。
Dellは火曜日に重大な脆弱性(CVE-2026-22769)を公開・パッチしたが、犯罪者が修正を発行する前にこのバグを発見して悪用していたと述べた。
「この脆弱性の限定的な積極的な悪用の報告を受けました」とDellのスポークスパーソンはThe Registerに述べた。「顧客には勧告に詳述されている対策を直ちに実施することを強く推奨します」。
Mandiantおよび火曜日にDellのゼロデイについてセキュリティ警告を発表したGoogleの脅威インテリジェンスグループによると、疑わしい中国関連の侵入者はCVE-2026-22769を悪用してBrickstormとGrimboltとして追跡されている別のバックドアを含むマルウェアを展開し、場合によっては古いBrickstormバイナリをGrimboltで置き換えると同時に、仮想マシンに「ゴーストNIC」を作成してステルシーなネットワークピボットを可能にした。
「事故対応の従事から明らかになったのは、疑わしい中国関連の脅威クラスターであるUNC6201が少なくとも2024年半ば以来、このフローを悪用して横展開し、永続的なアクセスを維持し、Slaystyle、Brickstorm、Grimboltとして追跡される新しいバックドアを含むマルウェアを展開していることです」と、Googleの脅威ハンター、Peter Ukhanov、Daniel Sislo、Nick Harbour、John Scarbrough、Fernando Tomlinson、Jr、Rich Reeceが述べた。
このキャンペーンの全範囲は不明であるため、以前にBrickstormの対象となった組織は、自組織環境内でGrimboltを探すことをお勧めします
悪用の範囲について質問されたとき、報告書の共著者であるMandiant ConsultingマネージャーのReeceは、Mandiantが「1ダース未満」の組織がCVE-2026-22769の影響を受けていることを知っていると述べた。「しかし、このキャンペーンの全範囲は不明であるため、以前にBrickstormの対象となった組織は、自組織環境内でGrimboltを探すことをお勧めします」と、彼はThe Registerに述べた。
新しく改良されたバックドア
Brickstormバックドアの初期版はGoで、後にRustで書かれていたようだが、攻撃者はMandiantによると、2025年9月にこれらのバイナリをGrimboltで置き換えたようだ。
C#で書かれたGrimboltは、ネイティブ事前コンパイル(AOT)を使用してプログラミング言語コードを、アプリケーション実行前にネイティブマシンコードに変換する。また、ネイティブ実行ファイルを圧縮する実行ファイルパッカーであるUPXでパックされている。
これらの機能により、マルウェアが静的解析を通じてアラームを発する可能性が低くなり、リソース制約のあるアプライアンスでのパフォーマンスが向上する。
Grimboltは、以前のBrickstormマルウェアと同じリモートシェル機能を提供し、同じ命令・統制インフラストラクチャを使用している。
「UNC6201は、convert_hosts.shというバックドアへのパスを含めるために正当なシェルスクリプトを修正することで、Dell RecoverPoint for Virtual Machinesに対してBrickstormとGrimboltの永続性を確立しました」と、Googlerらが報告した。「このシェルスクリプトは、rc.localを介してブート時にアプライアンスによって実行されます」。
さらに、彼らは、IRチームがBrickstormとGrimboltでバックドアされていた被害者の環境を調査中にDellのゼロデイを発見したことに注目した。
セキュリティアナリストは、ユーザー名「admin」を使用して脆弱なアプライアンスに対する「複数のウェブリクエスト」を見つけ、インストールされたApache Tomcat Managerに向けられた。
Dell RecoverPoint for Virtual Machinesはウェブサーバーとして Apache Tomcatを使用しており、セキュリティスローのチームはすぐに、攻撃者がApache Tomcatのハードコードされたパスワードを悪用して、Slaystyleウェブシェルを含む悪意のあるWARファイルを展開していることを発見した。
「ハードコードされた認証情報の知識を持つ未認証のリモート攻撃者がこの脆弱性を悪用する可能性があり、基盤となるオペレーティングシステムへの不正アクセスとルートレベルの永続性につながる可能性があるため、これは重大と見なされます」。
さらに、このバグを悪用してDellアプライアンスを悪用した後、UNC6201は「ゴーストNIC」を作成しました。これは、ESXiサーバーで実行されている既存の仮想マシン上の隠れた一時的なネットワークポートで、被害者のVMware仮想インフラストラクチャをさらに掘り下げるためのものです。
VMwareはThe Registerの問い合わせにすぐには応じなかった。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁とCrowdStrikeは、中国の攻撃者が組織のVMware環境をターゲットにしており、永続的なアクセスのためにBrickstormを使用していると以前に警告していた。
「国家主導の行為者はネットワークに浸透しているだけではありません」と、サイバーセキュリティの執行幹部補佐官であるCISAのNick Andersenは12月に述べた。「彼らは長期的なアクセス、破壊、および潜在的な破壊工作を可能にするために自分たちを埋め込んでいます」。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/18/dell_0day_brickstorm_campaign/
