中国政府系ハッキンググループが、一般的な運用・災害復旧ツールのラインに影響するゼロデイ脆弱性でDellの顧客を標的にしています。
DellとGoogleは火曜日、CVE-2026-22769に関する通知を発表し、高度な中国アクターが少なくとも2024年半ばからこのバグを標的にしていることを警告しました。Dellの勧告は、この脆弱性が10点満点中10点の深刻度スコアを持つことを述べ、この問題の修正を提供しました。
勧告ではGoogleの「限定的な積極的搾取」の調査結果に言及しています。Google傘下のセキュリティ企業Mandiantは公開しましたこの脆弱性とそれから生じた攻撃に関する独自の詳細ブログを。Mandiantは、この活動が北米全域の組織を標的にしていたと述べました。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の報道官はコメント要請に応じませんでしたが、同機関は確認しましたCVE-2026-22769が水曜日に搾取されており、すべての連邦機関に土曜日までパッチを当てるよう命令しました。
Dell RecoverPoint for Virtual Machinesは通常、組織のレジリエンスレイヤーの一部であり、仮想マシンをレプリケートして災害復旧を実現し、障害または攻撃によって中断された場合にシステムを迅速に復元できるようにしています(Keeper Securityの Shane Barneyによる)。
ハイパーバイザー、ストレージインフラストラクチャ、バックアップシステムに直接統合されているため、通常、昇格された権限で動作し、高価値のターゲットになっていると彼は述べました。
「バックアップと災害復旧プラットフォームを標的にすることは、意図的で知識のあるアプローチを反映しています。攻撃者が復元を担当するシステムを侵害する場合、組織の中断からの回復能力を弱める可能性があります」とBarneyは述べました。「スパイ活動の文脈では、このレイヤーへのアクセスはインフラストラクチャアーキテクチャとレプリケートされたデータセットへの深い可視性も提供できます。」
そのブログで、MandiantとGoogle Threat Intelligence Groupは、バグの搾取をUNC6201に結びつけました。Silk Typhoonへのリンクがあると述べたグループです。Silk Typhoonは、米国当局によって2024年の財務省をハッキングしたと非難され、IT企業Ivantiの広く使用されているツールの脆弱性を悪用した。
Mandiantの最高技術責任者であるCharles Carmakalは、この脆弱性の搾取中、ハッカーたちはBRICKSTORMと呼ばれるバックドアの新しいバージョンをデプロイしていたと述べました。
「Dell RecoverPoint for Virtual Machinesを使用している組織は、Dellが提供する推奨事項をすぐに適用する必要があります」とCarmakalは述べました。
「国家主体の脅威アクターは、エンドポイント検出・対応ソリューションを一般的にサポートしていないシステムを継続的に標的にしており、これにより被害組織が侵害されていることを知るのは非常に難しく、侵入の滞在時間を大幅に延長させます。」
Carmakalは、ハッカーが彼らがGRIMBOLTと名付けた新しいバックドアを使用しているのを観察したと述べました。Mandiantは、GRIMBOLTはBRICKSTORMマルウェアの代替品のようであり、同じアーキテクチャの多くを使用していますが、ハッカーが攻撃のすべての足跡を削除するより良い方法として機能していると述べました。
「BRICKSTORMのGRIMBOLTへの置き換えが、脅威アクターによって事前に計画されたライフサイクルイテレーションの一部であったのか、Mandiantおよびその他の業界パートナーが主導するインシデント対応活動への反応であったのかは不明です」と研究者たちは説明しました。
CISA、国家安全保障局(NSA)、カナダ・サイバーセキュリティセンターは、12月にBRICKSTORMについての勧告を公開し、中国のハッカーが複数の国の政府を攻撃し、長期的なアクセスを維持するためにそれを使用していることについて警告を発しました。
CISAは先週勧告を更新し、「より多目的で検出しにくい」BRICKSTORMの新しいバージョンを見ていることに気づいたと述べました。
Mandiantのようなサイバーセキュリティ企業は、2025年3月以降、法律事務所、サービスとしてのソフトウェアプロバイダー、テクノロジー企業への攻撃で繰り返しBRICKSTORMが使用されているのを報告しており、初期の目的は貴重な知的財産と機密データを盗むか、シニア経営者のメールインボックスを襲うことでした。
Crowdstrikeは、2025年を通じてBRICKSTORMを含む「米国拠点のエンティティのVMware vCenter環境を標的とした複数の侵入」も見たと述べました。Crowdstrikeが追跡した1つの事件では、中国のハッカーは2023年にさかのぼるアクセス権を持っていました。
Qualysのセキュリティ研究マネージャーであるMayuresh Daniは、中国の脅威アクターはMandiantの勧告で説明されているものなどの現代的なVMwareベースの災害復旧環境のパイプラインの内部で、巧妙で快適に動作していると述べました。
「この脆弱性は、脅威アクターが現代的なVMware DRアーキテクチャを理解し、その中で静かに生きる方法を知っていることを示しています」とDaniは説明しました。
「侵害されたアプライアンスは、どのデータのコピーが複製され、どこに行き、災害で何が復元されるかに影響を与え、高いレバレッジターゲットになります。」
翻訳元: https://therecord.media/fed-agencies-ordered-to-patch-dell-bug-after-exploitation-warning
