概要

中国に関連する脅威アクターが、Dell RecoverPoint for Virtual Machinesのゼロデイ脆弱性を悪用し、新しいバックドアを展開しているとMandiantとGoogle Threat Intelligence Groupが報告しています。

脆弱性の詳細

CVE-2026-22769という脆弱性は、ハードコードされた資格情報の問題であり、認証なしで攻撃者がシステムにアクセスし、ルートレベルでの持続性を維持できる可能性があります。この脆弱性は10点満点中10点と評価されています。

脅威アクターUNC6201

Mandiantが追跡するUNC6201という脅威アクターは、少なくとも2024年からこの脆弱性を利用して攻撃を実行しており、継続的なアクセスを維持し、水平展開を行い、BrickstoneとSlaystyleというマルウェアと共に新しいバックドアであるGriboltを使用しています。

新たなバックドアの特徴

GriboltはC#で作成され、ネイティブの事前コンパイルにより逆解析が難しくなっています。これは、攻撃者がより効果的に活動を維持できるように設計されています。

影響範囲と対策

Mandiantは複数の被害環境でこの脆弱性を発見し、影響を受けている組織が10件未満であることが確認されています。しかし、Brickstormによって過去に標的となった組織は、Griboltの存在を確認するためのチェックを行うべきだと警告しています。

Dellからの対応

Dellは顧客に対してアップグレードとセキュリティアドバイザリーで提供された緩和策をすぐに実装することを強く推奨しています。「この脆弱性の限定的なアクティブな悪用について報告を受けました」とDellのスポークスパーソンは述べています。

元記事: https://www.cybersecuritydive.com/news/zero-day-dell-recoverpoint-virtual-machines-exploited/812392/