Επιτιθέμενοι που συνδέονται με την Κίνα εκμεταλλευόταν ένα σφάλμα μέγιστης σοβαρότητας (hardcoded credentials) στο Dell RecoverPoint for Virtual Machines σαν zero-day τουλάχιστον από τα μέσα του 2024.
Όλα αυτά αποτελούν μέρος μιας μακροχρόνιας προσπάθειας για το backdooring μολυσμένων μηχανημάτων για μακροπρόθεσμη πρόσβαση, σύμφωνα με την ομάδα αντιμετώπισης περιστατικών Mandiant της Google.
Η κυβέρνηση των ΗΠΑ και η Google προειδοποίησαν για πρώτη φορά για αυτήν την εκστρατεία πέρυσι, όταν εντόπισαν backdoors του Brickstorm σε δεκάδες κρίσιμα δίκτυα των ΗΠΑ.
Η Dell αποκάλυψε και επιδιόρθωσε το κρίσιμο ελάττωμα (CVE-2026-22769) την Τρίτη – αλλά σημείωσε ότι οι επιτιθέμενοι έχουν εισβάλει ήδη σε συστήματα πριν εκδώσει την επιδιόρθωση.
Έτσι οι πελάτες της εταιρείας καλούνται να εφαρμόσουν άμεσα μία από τις διορθωτικές ενέργειες που περιγράφονται λεπτομερώς στην ειδοποίηση.
Σύμφωνα με την Mandiant και την Google Threat Intelligence Group, η οποία δημοσίευσε επίσης μια ειδοποίηση ασφαλείας την Τρίτη για το zero-day της Dell, οι εισβολείς που συνδέονται με την PRC και εκμεταλλεύτηκαν το CVE-2026-22769 για να αναπτύξουν το κακόβουλο λογισμικό Brickstorm και ένα ξεχωριστού backdoor που ονομάζεται Grimbolt. Σε ορισμένες περιπτώσεις αντικατέστησαν παλαιότερα δυαδικά αρχεία του Brickstorm με Grimbolt, ενώ παράλληλα δημιούργησαν “Ghost NIC” σε εικονικές μηχανές για να επιτρέψουν την απόκρυψη του δικτύου τους.
“Η ανάλυση των εμπλοκών απόκρισης σε περιστατικά αποκάλυψε ότι το UNC6201, μια ύποπτη ομάδα απειλών PRC-nexus, έχει εκμεταλλεύεται αυτό το ελάττωμα τουλάχιστον από τα μέσα του 2024 για να κινηθεί πλευρικά, να διατηρήσει μόνιμη πρόσβαση και να αναπτύξει κακόβουλο λογισμικό, συμπεριλαμβανομένων των Slaystyle, Brickstorm και ενός νέου backdoor που παρακολουθείται σαν Grimbolt”, δήλωσαν οι ερευνητές της Google Peter Ukhanov, Daniel Sislo, Nick Harbour, John Scarbrough, Fernando Tomlinson, Jr, και Rich Reece.
Η πλήρης κλίμακα αυτής της επίθεσης είναι άγνωστη, και συνιστούμε στους οργανισμούς που είχαν στοχοποιηθεί παλαιότερα από το Brickstorm να αναζητήσουν το Grimbolt στα περιβάλλοντά τους.
Όταν ρωτήθηκε για το εύρος της εκμετάλλευσης, ο διευθυντής της Mandiant Consulting, Reece, δήλωσε ότι η Mandiant γνωρίζει “λιγότερους από δώδεκα” οργανισμούς που έχουν επηρεάζονται από το CVE-2026-22769. “Αλλά επειδή η πλήρης κλίμακα αυτής της καμπάνιας είναι άγνωστη, συνιστούμε στους οργανισμούς που είχαν προηγουμένως στοχοποιηθεί από την Brickstorm να αναζητήσουν το Grimbolt στα περιβάλλοντά τους”
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
