یک گروه هکری حرفهای، از اواسط سال ۲۰۲۴ در حال بهرهبرداری مخفیانه از یک آسیبپذیری بحرانی روز-صفر در محصولات شرکت دل (Dell) بوده است؛ حملاتی که زیرساختهای مجازی مبتنی بر VMware را هدف قرار دادهاند.
سوءاستفاده از آسیبپذیری بحرانی با دسترسی روت
بر اساس گزارش منتشرشده توسط پژوهشگران امنیتی شرکت ماندیانت (Mandiant) و تیمی از شرکت گوگل (Google)، گروه چینی UNC6201 از یک آسیبپذیری با شدت حداکثری در محصول Dell RecoverPoint for Virtual Machines سوءاستفاده کرده است. این آسیبپذیری با شناسه CVE-2026-22769 ثبت شده و مربوط به وجود «اعتبارنامه هاردکدشده» در نرمافزار است.
این راهکار شرکت دل برای پشتیبانگیری و بازیابی ماشینهای مجازی مبتنی بر VMware استفاده میشود و در بسیاری از سازمانها برای حفاظت از دادههای حیاتی بهکار میرود.
طبق اعلام شرکت دل، نسخههای پیش از 6.0.3.1 HF1 این محصول در برابر این نقص امنیتی آسیبپذیر هستند. یک مهاجم راهدور و بدون نیاز به احراز هویت، در صورت اطلاع از اعتبارنامه داخلی تعبیهشده در سیستم، میتواند به سیستمعامل زیربنایی دسترسی پیدا کرده و حتی در سطح روت (root) ماندگاری ایجاد کند.
استقرار دربپشتی جدید Grimbolt
پس از نفوذ به شبکه قربانیان، مهاجمان اقدام به نصب چندین بدافزار کردهاند که مهمترین آنها یک دربپشتی (Backdoor) جدید با نام Grimbolt است. این بدافزار با زبان C# نوشته شده و با استفاده از تکنیکهای جدید کامپایل ساخته شده تا سریعتر اجرا شود و تحلیل آن برای تیمهای امنیتی دشوارتر باشد.
Grimbolt جایگزین بکدور قبلی این گروه به نام Brickstorm شده است؛ بدافزاری که پیشتر در حملات علیه سازمانهای حقوقی و فناوری در آمریکا مشاهده شده بود.
تکنیک جدید Ghost NIC: در سرورهای ESXi
یکی از نکات قابل توجه در این حملات، استفاده از تکنیکی جدید برای حرکت جانبی در شبکه است. مهاجمان روی سرورهای VMware ESXi اقدام به ایجاد رابطهای شبکه مخفی موسوم به Ghost NIC کردهاند. این رابطهای مجازی موقت به آنها اجازه میدهد بدون جلب توجه، از ماشینهای مجازی آلوده به سایر بخشهای داخلی شبکه یا حتی محیطهای SaaS دسترسی پیدا کنند.
به گفته کارشناسان ماندیانت، این روش تاکنون در تحقیقات قبلی مشاهده نشده و نشاندهنده تکامل تاکتیکهای مهاجمان در محیطهای مجازی است.
ارتباط احتمالی با دیگر گروههای تهدید چینی
پژوهشگران همچنین شباهتهایی میان UNC6201 و گروه تهدید دیگری به نام UNC5221 شناسایی کردهاند. این گروه پیشتر به سوءاستفاده از آسیبپذیریهای روز-صفر محصولات Ivanti و ارتباط با گروه مشهور Silk Typhoon نسبت داده شده بود.
در همین راستا، شرکت امنیتی کروداسترایک (CrowdStrike) نیز حملات Brickstorm علیه سرورهای VMware vCenter را به یک گروه هکری چینی با نام Warp Panda نسبت داده است.
توصیه امنیتی به سازمانها
شرکت دل از تمامی مشتریان خود خواسته است در اسرع وقت نسخه نرمافزار RecoverPoint for Virtual Machines را به نسخه 6.0.3.1 HF1 یا بالاتر ارتقا دهند یا راهکارهای اصلاحی منتشرشده در توصیهنامه امنیتی رسمی که از طریق لینک زیر قابلدریافت است را اعمال کنند.
https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079
این رخداد بار دیگر نشان میدهد که حملات زنجیر تأمین (Supply Chain Attacks) و زیرساختهای مجازی، بهویژه در محیطهای سازمانی، به اهدافی جذاب برای مهاجمان پیشرفته تبدیل شدهاند و بهروزرسانی منظم و پایش امنیتی مستمر دیگر یک گزینه نیست، بلکه یک ضرورت است.