Eine größtmögliche Schwachstelle bei Dell RecoverPoint für Virtuelle Maschinen wurde von einer von Google Mandiant und Google Threat Intelligence Group als UNC6201 identifizierten Cyber-Espionage-Gruppe als Null-Tag ausgenutzt. Laut dem öffentlichen Bericht ist der Ausfall - registriert als CVE-2026-22769 - auf Anmeldeinformationen codiert in Versionen vor 6.0.3.1 HF1 und erlaubt einem nicht authentifizierten Angreifer unberechtigten Zugriff auf das zugrunde liegende System und persistent mit root Privilegien, wenn er diese Anmeldeinformationen kennt.
Das Problem betrifft nicht alle RecoverPoint-Produkte; Dell erklärt, dass RecoverPoint Classic nicht auf der Liste der betroffenen. Allerdings erfordern die RecoverPoint for Virtual Machines Editionen in Versionen wie 5.3 SP4 P1 und mehreren 6.0 Filialen Migration und / oder dringendes Update, um den Fehler zu korrigieren. Dell hat spezifische Empfehlungen herausgegeben, zu denen Versionen aktualisiert werden sollen und wie das Risiko in seiner offiziellen Bekanntmachung gemildert werden soll, die mit Priorität konsultiert werden sollten: Dell's Newsletter.
Der von Mandiant / GTIG beschriebene Bedienmechanismus ist direkt und gefährlich: Der kodierte Anmeldetag erleichtert die Authentifizierung gegen den in der Anwendung enthaltenen Apache Tomcat Manager. Damit kann der schädliche Schauspieler eine Shell-Website namens SLAYSTYLE nach Endpoint "/ Manager / Text / Bereitstellung" hochladen und Befehle wie root ausführen. Dies war die Tür, um eine Familie von Hintertüren bekannt als BRICKSTORM und eine neuere und Stealth-Variante namens GRIMBOLT. Die technische Analyse des Mandiants Teams findet sich im Google-Bericht: UNC6201: Ausbeutung des Nulltages bei Dell RecoverPoint.
GRIMBOLT verdient besondere Erwähnung für sein Design. Laut den Forschern ist dies eine Backdoor, die in C # von nativen fortgeschrittenen Compilation (AOT) kompiliert wird, was es schwierig macht, die Technik und Erkennung umzukehren. Darüber hinaus haben seine Autoren daran gearbeitet, die Binaries mit den nativen Dateien des Systems zu mischen und forensische Tracks zu reduzieren. Der Übergang von BRICKSTORM zu GRIMBOLT in einigen Umgebungen, die im September 2025 entdeckt wurden, deutet darauf hin, dass eine bewusste Absicht nicht mehr entdeckt wird.
Das Verhaltensmuster der UNC6201 Gruppe zeigt qualifizierte Taktiken, um die seitliche Bewegung zu verbergen. Eines davon ist die Schaffung von temporären virtuellen Netzwerk-Schnittstellen - genannt "Ghost NICs" -, die es Ihnen erlauben, von virtuellen Maschinen, die in interne Netzwerke oder SaaS-Dienste verkehren und dann gelöscht werden, um die Forschung schwierig zu machen. Darüber hinaus wurden in kompromittierten VMware vCenter-Maschinen iptable-Regeln, die von der Web-Shell erstellt wurden, gefunden, um TLS (port 443)-Verkehre auf der Suche nach einer bestimmten hexadezimalen Kette zu überwachen und, wenn festgestellt, den IP-Ursprung zu einer Liste von genehmigten und umleiten Verkehr zu Port 10443 für kurze Zeiträume hinzuzufügen. Für diejenigen, die mit der Art der verwendeten Regeln vertraut werden wollen, ist eine grundlegende technische Ressource auf iptables nützlich: iptable tutorial.
Die UNC6201 Kampagne funktioniert nicht im Vakuum: Es teilt Taktiken und Malware-Familien mit anderen Gruppen verbunden mit China, wie UNC5221, und das gleiche BRICKSTORM-Tool wurde auch mit einem anderen Schauspieler identifiziert von CrowdStrike als Warp Panda bei Angriffen gegen US-Einheiten. Trotz dieser taktischen Übereinstimmungen halten Analysten fest, dass Cluster unterschiedliche Bedrohungen bleiben, die jeweils mit ihren operativen und objektiven Modi. Diese Überschneidung unterstreicht, dass staatliche und pro-staatliche Gegner sich auf den Angriff von Virtualisierungsinfrastrukturen und Edge-Geräten spezialisiert haben, die oft keinen traditionellen Endpoint-Schutz haben.
Dieser letzte Punkt ist kritisch: viele der angegriffenen Anwendungen und Gateways führen nicht regelmäßige EDR-Agenten, was es erleichtert, dass die Eindringlinge lange Zeit in den Netzwerken bleiben, ohne erkannt zu werden. Die Folge ist eine größere "Wohnzeit" - Zeit, die der Angreifer in der Umwelt bleibt - und mehr Möglichkeiten, Daten zu bewegen, Pflanzen-Hintertüren oder spätere Aktionen vorzubereiten, die sogar industrielle Steuerungssysteme (OT) erreichen können. In einem verwandten Kontext hat die Firma Drago Kampagnen dokumentiert, die zellulare Gateways kompromittieren, um sich in Engineering-Stationen in Sektoren wie Energie und Öl und Gas zu schwenken, was die Schwere der Bedrohung für kritische Infrastruktur zeigt: Bericht von Drago.
Was können und sollten die betroffenen oder gefährdeten Organisationen tun? Vor allem, sofort aktualisieren auf die von Dell identifizierten Abhilfeversionen: für viele Zweige, die bedeutet, sich auf 6,0,3.1 HF1 zu bewegen oder die Migrationsschritte von 5,3 SP4 P1 vor der Installation des Hotfixes anzuwenden. Dell betont auch, dass RecoverPoint für virtuelle Maschinen in internen und zuverlässigen Netzwerken eingesetzt werden müssen, durch entsprechende Segmentierung und Firewalls geschützt und nicht direkt dem Internet ausgesetzt werden. Der offizielle Dell-Führer enthält spezielle Anweisungen zu Minderungsversionen und Schritten: Dells Mitteilung Beratung.
Es reicht nicht aus zu parken: Systeme sollten für Verpflichtungsindikatoren geprüft werden. Überprüfen Sie die Existenz von Web-Shells in Tomcat, suchen Sie nach Listen von Prozessen und Dateien, die BRICKSTORM oder GRIMBOLT, überprüfen ungewöhnliche Regeln in iptables, die TLS-Ports um 10443 umleiten, und suchen nach ephemeralen Netzwerk-Schnittstellen sind vorrangige Aufgaben. Es wird auch empfohlen, die Integritätsüberwachung, das weitere Segment der Netzwerke, die Anwendungen hosten und die Überprüfung der administrativen Zugriffe ausgesetzt zu stärken. Um zu verstehen, was die iptable Regeln, die bei tatsächlichen Ereignissen beobachtet wurden, tun, kann die oben genannte technische Verbindung hilfreich sein: iptable guide.
Response-Teams und Sicherheitsbeamte sollten mit Lieferanten koordinieren, um die Abhilfe zu validieren, forensische Protokolle zu sammeln, bevor sie störende Änderungen anwenden und, wenn es einen Verdacht auf Engagement gibt, annehmen, dass es eine Wurzel-Level-Persistenz gibt, bis es anders bewiesen ist. Da die Bedienung von geprägten Anmeldeinformationen in der Software ausgenutzt wird, reicht die bloße Rotation externer Passwörter nicht aus: Es ist wichtig, die Patches anzuwenden und den Empfehlungen des Herstellers zu folgen.
Schließlich ist diese Episode eine Erinnerung, dass hochrangige Angreifer Systeme mit wenig Telemetrie und wenig traditionellen Schutz suchen. Die Industrie sollte weiterhin die Sichtbarkeit in Infrastrukturanwendungen verbessern, sichere Entwicklungsbest Practices benötigen, um codierte Anmeldeinformationen zu vermeiden und Netzwerkkontrollen anzupassen, die die Exposition kritischer Elemente reduzieren. Für mehr Kontext und technische Details zu Forschung und Zuschreibung ist der Google Mandiant Bericht ein Muss lesen: Mandiant / GTIG Bericht und für die Benachrichtigung des Lieferanten siehe Dell Newsletter: Dells Mitteilung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...