سوءاستفاده هکرهای چینی از آسیب‌پذیری روز-صفر Dell برای نفوذ به زیرساخت‌های VMware

یک گروه هکری حرفه‌ای، از اواسط سال ۲۰۲۴ در حال بهره‌برداری مخفیانه از یک آسیب‌پذیری بحرانی روز-صفر در محصولات شرکت دل (Dell) بوده است؛ حملاتی که زیرساخت‌های مجازی مبتنی بر VMware را هدف قرار داده‌اند.

سوءاستفاده از آسیب‌پذیری بحرانی با دسترسی روت

بر اساس گزارش منتشرشده توسط پژوهشگران امنیتی شرکت ماندیانت (Mandiant) و تیمی از شرکت گوگل (Google)، گروه چینی UNC6201 از یک آسیب‌پذیری با شدت حداکثری در محصول Dell RecoverPoint for Virtual Machines سوءاستفاده کرده است. این آسیب‌پذیری با شناسه CVE-2026-22769 ثبت شده و مربوط به وجود «اعتبارنامه هاردکدشده» در نرم‌افزار است.

این راهکار شرکت دل برای پشتیبان‌گیری و بازیابی ماشین‌های مجازی مبتنی بر VMware استفاده می‌شود و در بسیاری از سازمان‌ها برای حفاظت از داده‌های حیاتی به‌کار می‌رود.

طبق اعلام شرکت دل، نسخه‌های پیش از 6.0.3.1 HF1 این محصول در برابر این نقص امنیتی آسیب‌پذیر هستند. یک مهاجم راه‌دور و بدون نیاز به احراز هویت، در صورت اطلاع از اعتبارنامه داخلی تعبیه‌شده در سیستم، می‌تواند به سیستم‌عامل زیربنایی دسترسی پیدا کرده و حتی در سطح روت (root) ماندگاری ایجاد کند.

استقرار درب‌پشتی جدید Grimbolt

پس از نفوذ به شبکه قربانیان، مهاجمان اقدام به نصب چندین بدافزار کرده‌اند که مهم‌ترین آن‌ها یک درب‌پشتی (Backdoor) جدید با نام Grimbolt است. این بدافزار با زبان C# نوشته شده و با استفاده از تکنیک‌های جدید کامپایل ساخته شده تا سریع‌تر اجرا شود و تحلیل آن برای تیم‌های امنیتی دشوارتر باشد.

Grimbolt جایگزین بک‌دور قبلی این گروه به نام Brickstorm شده است؛ بدافزاری که پیش‌تر در حملات علیه سازمان‌های حقوقی و فناوری در آمریکا مشاهده شده بود.

تکنیک جدید Ghost NIC: در سرورهای ESXi

یکی از نکات قابل توجه در این حملات، استفاده از تکنیکی جدید برای حرکت جانبی در شبکه است. مهاجمان روی سرورهای VMware ESXi اقدام به ایجاد رابط‌های شبکه مخفی موسوم به Ghost NIC کرده‌اند. این رابط‌های مجازی موقت به آن‌ها اجازه می‌دهد بدون جلب توجه، از ماشین‌های مجازی آلوده به سایر بخش‌های داخلی شبکه یا حتی محیط‌های SaaS دسترسی پیدا کنند.

به گفته کارشناسان ماندیانت، این روش تاکنون در تحقیقات قبلی مشاهده نشده و نشان‌دهنده تکامل تاکتیک‌های مهاجمان در محیط‌های مجازی است.

ارتباط احتمالی با دیگر گروه‌های تهدید چینی

پژوهشگران همچنین شباهت‌هایی میان UNC6201 و گروه تهدید دیگری به نام UNC5221 شناسایی کرده‌اند. این گروه پیش‌تر به سوءاستفاده از آسیب‌پذیری‌های روز-صفر محصولات Ivanti و ارتباط با گروه مشهور Silk Typhoon نسبت داده شده بود.

در همین راستا، شرکت امنیتی کروداسترایک (CrowdStrike) نیز حملات Brickstorm علیه سرورهای VMware vCenter را به یک گروه هکری چینی با نام Warp Panda نسبت داده است.

توصیه امنیتی به سازمان‌ها

شرکت دل از تمامی مشتریان خود خواسته است در اسرع وقت نسخه نرم‌افزار RecoverPoint for Virtual Machines را به نسخه 6.0.3.1 HF1 یا بالاتر ارتقا دهند یا راهکارهای اصلاحی منتشرشده در توصیه‌نامه امنیتی رسمی که از طریق لینک زیر قابل‌دریافت است را اعمال کنند.

https://www.dell.com/support/kbdoc/en-us/000426773/dsa-2026-079

این رخداد بار دیگر نشان می‌دهد که حملات زنجیر تأمین (Supply Chain Attacks) و زیرساخت‌های مجازی، به‌ویژه در محیط‌های سازمانی، به اهدافی جذاب برای مهاجمان پیشرفته تبدیل شده‌اند و به‌روزرسانی منظم و پایش امنیتی مستمر دیگر یک گزینه نیست، بلکه یک ضرورت است.