Mitte 2024 begann eine stille Kampagne, dass Sicherheitsforscher nun mit einer Gruppe zusammenhängen, die vermutet wird, dass sie vom chinesischen Staat unterstützt werden. Dieser Schauspieler nutzte einen kritischen Ausfall in einem Dell-Produkt, um in Unternehmensnetzwerke einzusteigen und tiefe Beharrlichkeit in virtualisierten Umgebungen zu erhalten.
Die Verwundbarkeit in Frage ist ein Anmelder, der in den Code eingebettet ist Dell RecoverPoint für virtuelle Maschinen, eine Lösung entwickelt, um virtuelle Maschinen in VMware zu schützen und wiederherzustellen. Der Ausfall wird als CVE-2026-22769 und betrifft Versionen vor 6.0.3.1 HF1. Dell hat eine Sicherheitshinweis in der es empfiehlt, die Minderung so schnell wie möglich zu aktualisieren oder anzuwenden, weil ein Angreifer ohne vorherige Authentifizierung, der weiß, dass Anmeldeinformationen Zugriff auf das zugrunde liegende Betriebssystem erhalten und Beharrlichkeit mit Root-Privilegien festlegen können.
Die Ausrüstung Google Threat Intelligence Group (GTIG) und Mandiant beschreiben, wie die Gruppe getauft als UNC6201 Er nutzte diesen Vektor, um mehrere Lader und Hintertüren zu implementieren. Unter ihnen ist eine neue Familie genannt Grimbolt, geschrieben in C # und kompiliert mit einer relativ jüngeren Technik, um es schneller zu machen und es schwierig für Sie, statische und dynamische zu analysieren. Grimbolt scheint im September 2025 eine andere Hintertür als Brickstorm ersetzt zu haben, obwohl es nicht klar ist, ob dieser Übergang eine geplante Verbesserung oder Reaktion auf die Reaktion von Mandiant und anderen Industrieteams war.
Die störende Sache ist nicht nur die anfängliche Ausbeutung, sondern auch, wie die Angreifer ihre Kapazitäten innerhalb der virtualisierten Infrastruktur verstärken. Forscher beobachteten die Verwendung temporärer virtueller Netzwerkschnittstellen, genannt kolloquial "Ghost NICs", auf VMware ESXi Servern. Diese ephemeren Schnittstellen ermöglichen es Angreifern, von virtuellen Maschinen, die zu internen Ressourcen oder sogar SaaS-Diensten verpflichtet sind, zu schwenken, ohne die typischen Indikatoren der lateralen Bewegung zu verlassen, so dass sie eine neuartige und schwierige Technik zu erkennen.
Ein weiterer Aspekt, der diese Intrusionen erleichtert, ist die Wahl der Ziele: Anwendungen und Geräte, die normalerweise keine herkömmlichen Nachweis- und Antwortmittel (EDR) tragen. Durch das Anzielen von Infrastrukturkomponenten, die keinen Standard-Endpoint-Schutz haben, können Angreifer für lange Zeiträume unentdeckt bleiben, wodurch die Eindämmung teurer und komplexer wird.
Die Spuren dieser Operationen zeigen auch Überschneidungen mit einer anderen Bedrohungsfamilie, die als UNC5221 zurückverfolgt wurde, die zuvor mit der Ausbeutung von Schwachstellen in Ivanti Produkten verbunden war und von einigen Analysten mit chinesischen Staatskampagnen wie Silk Typhoon verbunden war. Im April 2024 dokumentierte Mandiant die Verwendung von Brickstorm bei bestimmten Angriffen adressiert an Ivanti Kunden und Sicherheitsunternehmen wie CrowdStrike haben verwandte Operationen, die Brickstorm mit einem Schauspieler verwendet, den sie Warp Panda nennen, der VMware vCenter Server und andere Ziele in Sektoren wie legal, technologische und Herstellung angegriffen hat.
Für Sicherheitsteams und Systemmanager hat die Nachricht einige praktische Auswirkungen: zuerst folgen Sie Dell's Leitfaden und priorisieren Sie das Update auf parched Versionen oder wenden Sie die vorgeschlagene Minderung an. Dell veröffentlichte in seiner Sicherheitshinweise. Zweitens ist es angebracht, den Zugang zu Management-Schnittstellen und Backup-Systemen zu überprüfen, ihre Exposition gegenüber unzuverlässigen Netzwerken zu begrenzen und starke Authentifizierungs- und Netzwerksegmentierung zu zwingen.
Es ist auch wichtig, die Verpflichtungsindikatoren aktiv zu überwachen: auf der Suche nach ungewöhnlichen Prozessen oder Binaren in Systemen, die mit RecoverPoint verbunden sind, die Anmeldung von ESXi für die Erstellung von temporären virtuellen Ports zu überprüfen und den lateralen Verkehr zwischen virtuellen Maschinen zu analysieren, die die Nutzung von Ghost NICs zeigen könnten. Da viele Anwendungen nicht EDR laufen, können Signale in Netzwerkrekorden, in der Hypervisor-Telemetrie oder in Integritätsüberwachungslösungen sein.
Neben der sofortigen technischen Minderung erinnert diese Kampagne an eine breitere Lektion: Virtualisierte Infrastruktur und Backup-Lösungen sind hochwertige Ziele für fortgeschrittene Akteure. Das Engagement eines Recovery-Tools kann dem Angreifer eine Sichtbarkeit und Beharrlichkeit Kapazität geben, die das gesamte Unternehmen beeinflussen. Es ist daher wichtig, Sicherheitsmaßnahmen in das Design der Plattform zu integrieren, vom Anmeldemanagement bis zur Segmentierung, unwandelbare Sicherungen und Validierung von Bildintegrität und -konfigurationen.
Für diejenigen, die die technischen Erkenntnisse und die Forschungschronologie vertiefen wollen, geben die ursprünglichen Berichte der Teams, die die Aktivität dokumentiert haben, Details der Telemetrie und Empfehlungen: GTIG und Mandiant Analyse, Dell's Sicherheitshinweis und die Erfassung der Sicherheitslücke am EQE-Basis CVE-2026-22769. Die Konsultation dieser Quellen ermöglicht es, fundierte Entscheidungen zu treffen und geeignete Gegenmaßnahmen anzuwenden.
Kurz gesagt, wir betrachten ein weiteres Beispiel dafür, wie scheinbar "lokale" Fehler in Backup-Tools zu Einstiegstüren für anspruchsvolle Kampagnen werden können. Die Kombination von kritischer Verwundbarkeit, Malware entwickelt, um Analyse und unveröffentlichte laterale Bewegungstechniken zu umgehen, unterstreicht die Notwendigkeit, Patches zu priorisieren, virtuelle Infrastrukturen zu prüfen und davon auszugehen, dass ungeschützte Anwendungen ein privilegierter Vektor für fortgeschrittene Akteure sind.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...