研究者らは、中国政府によるバックアップが疑われる長期的なサイバー諜報キャンペーンに関する、さらに懸念すべき詳細を発見しました。このようなキャンペーンは、多大な被害をもたらすまで検出されないことが多いことを示しています。
Google Threat Intelligence GroupとMandiantは、中国の脅威グループUNC6201が2024年半ば以降、Dell RecoverPoint for Virtual Machinesのゼロデイ脆弱性を悪用していると述べています。このグループはSilk Typhoonとしても知られるUNC5221と重なっており、2022年以降、少なくともその時点から、重要インフラと政府機関のネットワークに検出されずに侵入し続けています。
ゼロデイの悪用は、この特定の攻撃グループからのエスカレーションを意味しています。国家が後援する攻撃者は、キャンペーンが昨年の夏にようやく検出されるまで、数年間にわたってネットワークにBrickstormマルウェアを埋め込みました。しかし、9月までに、攻撃者はBrickstormをGrimboltに置き換えました。Grimboltはより高度なマルウェアで、検出がより困難です。Google のセキュリティ研究者が火曜日に述べました。
ゼロデイ脆弱性 — CVE-2026-22769 — はDell RecoverPoint for Virtual Machinesにハードコーディングされた管理者パスワードに関するもので、これはApache Tomcatから抽出されました。CVSS スコアは10/10です。中国の脅威グループは、脆弱性をトリガーし、認証されていないリモート攻撃者が少なくとも18ヶ月間、ルートレベルの永続的なアクセスで完全なシステムアクセスを得ることができるハードコーディングされたパスワードを使用してきました。Googleが述べています。
Dell Technologiesは火曜日に脆弱性を開示し、パッチをリリースしました。同社のスポークスパーソンは、顧客にセキュリティアドバイザリーのガイダンスに従うよう促しました。
「影響を受けている組織は12未満の組織に限られていることをご存じですが、このキャンペーンの全規模が不明であるため、以前Brickstormの対象であった組織が環境内のGrimboltに注意するよう推奨しています」とGTIGの主任アナリストであるAustin Larsenは、CyberScoopに語りました。
Cybersecurity and Infrastructure Security Agencyが12月にキャンペーンに関する新しい詳細を発表したとき、Googleは数十の米国組織が既にBrickstormの影響を受けていると述べました。下流の被害者は含まれていません。
「この攻撃者はパッチが適用されていない環境と修復された環境で依然として活動している可能性があり、2024年半ば以降の悪用が発生しているため、永続性を確立し長期的なスパイ活動を実行する重要な時間がありました」とLarsenは追加しました。
このキャンペーン — 中国の国家が後援する多くの同時進行中の努力の1つであり、長期的なアクセス、中断、および潜在的な妨害のためにネットワークに自分たちを埋め込むもの — は国家安全保障の最大の懸念事項のままです。
CISA、National Security Agency、およびCanadian Centre for Cyber Securityは、指標と侵害を共有するために先週Brickstormに関する新しい分析をリリースしました。これにより、潜在的な被害者がネットワーク上の悪意のある活動を検出するのに役立つ可能性があります。
しかし、このキャンペーンに関与する中国にリンクされたグループは既にGrimboltに移行しており、場合によっては古いBrickstormバイナリを、リバースエンジニアリングがより困難な新しいバックドアに置き換えています。Googleによると。
CISAの公務局長Marci McCarthyは、CyberScoopに対して、同機関は水曜日にさらに情報を共有すると述べました。
中国の国家が後援するキャンペーンに関するGoogleの最新の研究は、脅威グループの執拗さと、ネットワークに400日以上検出されずに留まる能力が、防御者とサイバー当局に不利な立場をもたらすことをどのように示しています。
脅威グループは通常、エンドポイント検出と応答なしで実行されているシステムで実行されているエッジアプリケーションとデバイスをターゲットにしていますが、研究者は最近発見された被害者のネットワークに攻撃者がどのように侵入したかを知りません。
研究者は脅威グループの活動の大規模なビューのみを持っています。
「UNC5221とUNC6201の活動の重要な部分が不明である可能性が高く、彼らが未発見のゼロデイとマルウェアを開発または使用している強い可能性があります」とLarsenは述べています。「このキャンペーンの最も懸念される側面は、追加の組織がこのキャンペーンの一部として侵害された可能性があり、それをまだ知らないということです」
翻訳元: https://cyberscoop.com/china-brickstorm-grimbolt-dell-zero-day/
