ハッカーがDell RecoverPoint for Virtual Machinesのゼロデイ脆弱性を悪用

脅威アクターがDell RecoverPoint for Virtual Machinesのゼロデイ脆弱性を悪用して、新しいバックドアをダウンロードするサイバー攻撃キャンペーンを展開している。MandiantとGoogle Threat Intelligence Groupからの最新の報告によると、このような状況が発生している。

このプロダクトは、ユーザーがVMware仮想マシンのバックアップとディザスタリカバリーを管理できるようにしている。

CVE-2026-22769として記載されている脆弱性は、ハードコードされた認証情報の脆弱性であり、認証されていない攻撃者が基盤となるシステムにアクセスしてルートレベルの永続性を維持することを可能にする。この脆弱性の重要度スコアは10である。

Googleが追跡している脅威アクター「UNC6201」は、少なくとも2024年以降、この脆弱性を攻撃で使用しており、永続的なアクセスを維持し、横方向に移動し、Brickstone、Slaystyle、および「Grimbolt」という新しいバックドアを配備する能力を持っている。

BrickstoneはGoで書かれたバックドアで、VMware vCenterサーバーをターゲットにするために使用されると、研究者は述べている。

これらの新たに公開された攻撃では、UNC6201がBrickstoneマルウェアをGrimboltに置き換えており、Grimboltはより検出が難しいバックドアである。

「これはネイティブ先読みコンパイルを使用してコンパイルされたC#バックドアで、リバースエンジニアリングをより難しくしている」と、MandiantコンサルティングのCTOおよび取締役顧問であるCharles CarmakalはLinkedInの投稿で述べた。

Mandiantは被害者の環境内でDell RecoverPoint for Virtual Machinesの複数のインスタンスを調査している際に、この脆弱性を発見したと、GTIGのプリンシパル脅威アナリストであるAustin Larsenによると述べられている。

Larsenは、影響を受けた組織が12未満であることを認識していると述べたが、Brickstormに以前ターゲットにされた組織は、自分たちの環境内でGrimboltをチェックするよう警告した。

一方、Dellは顧客にアップグレードし、新しいアドバイザリーで提供している軽減策を適用するよう促している。

「この脆弱性の限定的な活発な悪用の報告を受け取った」と、Dellのスポークスパーソンはサイバーセキュリティダイブに述べた。

同社は顧客にセキュリティアドバイザリーに詳述されている軽減策のいずれかを直ちに実装するよう促した。