Dellは昨日、RecoverPoint for Virtual Machinesプロダクトの重大なゼロデイ脆弱性に対するパッチをリリースしました。Mandiantによると、この脆弱性は2024年以来、中国のAPTグループによって静かに悪用されていました。
CVE-2026-22769はハードコードされた認証情報のバグであり、最大CVSS スコアは10.0です。
認証情報の知識を持つ認証されていない攻撃者は、基盤となるOSへアクセスし、ルートレベルの永続性を獲得できます。Dellは警告しました。
このゼロデイ脆弱性は、6.0.3.1 HF1より前のバージョンのデータバックアップおよびリカバリソリューションに影響します。
中国のAPTグループについてさらに詳しく読む: European Governments Breached in Zero-Day Attacks Targeting Ivanti.
Mandiantが2月18日に公開したレポートによると、CVE-2026-22769の悪用は少なくとも2024年中盤まで遡ることができますが、それより前に活動があった可能性があります。
「インシデント対応の調査から、中国関連の脅威グループと疑われるUNC6201が、少なくとも2024年中盤からこの脆弱性を悪用して、横展開し、永続的なアクセスを維持し、Slaystyle、Brickstorm、および新しいバックドアGrimboltを含むマルウェアを展開していることが判明しました」と説明しました。
「これらのインシデントの初期アクセスベクトルは確認されていませんが、UNC6201はVPNコンセントレータなどのエッジアプライアンスを初期アクセスのために標的にすることが知られています。」
昨年9月、このグループはBrickstormバックドアを置き換えました。このバックドアは、中国のサイバー諜報活動に関連しており、少なくとも3月以来のものです。これがGrimboltに置き換わりました。
新しいバックドアはC#で記述され、ネイティブな先読みコンパイル(AOT)技術を使用してコンパイルされています。これは分析を回避し、パフォーマンスを向上させるためです。
「従来の.NETソフトウェアはランタイムでジャストインタイムコンパイル(JIT)を使用しますが、2022年に.NETに導入されたネイティブAOTコンパイルバイナリは、コンパイル中に直接機械ネイティブコードに変換されます」とMandiantは説明しました。
「このアプローチはリソースに制約があるアプライアンスでソフトウェアのパフォーマンスを向上させ、必要なライブラリがファイルに既に存在することを保証し、C#サンプルに通常関連付けられている共通中間言語(CIL)メタデータを削除することで静的分析を複雑にします。」
リモートシェル機能を提供するGrimboltは、Brickstormと同じコマンドアンドコントロール(C2)インフラストラクチャを使用しています。レポートによると。
MandiantがWe Reveal Novel TTPs
MandiantはまたUNC6201がVMware仮想インフラストラクチャを標的にするために新しい戦術を使用していることを観察しました。
これには、ESXiサーバー上で実行されているVM上の新しい一時的なネットワークポート、つまり「ゴーストNIC」の作成が含まれます。
「これらのネットワークポートを使用して、脅威アクターはさまざまな内部およびサービスとしてのソフトウェア(SaaS)インフラストラクチャに転走しました。これは影響を受けた組織によって使用されていました」とレポートは指摘しました。
Mandiantはまたシングルパケット認可(SPA)のためのiptablesの使用を明かしました。
レポートはUNC6201とUNC5221の間にオーバーラップがあると主張しています。UNC5221はIvantiプロダクトを使用した政府機関へのゼロデイ攻撃に関連付けられています。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-apt-exploits-dell-zeroday/
