Mandiant與Google威脅情報小組聯合發布調查報告,揭露虛擬機器復原軟體Dell RecoverPoint for Virtual Machines存在一個嚴重程度達滿分的零日漏洞CVE-2026-22769,CVSS 3.1評分為10.0。研究人員指出,疑似與中國有關的駭客組織UNC6201,自2024年中起便已開始利用此漏洞,在受害者環境中橫向移動、建立持久性存取,並部署多種惡意程式。關於這項重大弱點,Dell當天也發布資安漏洞公告DSA-2026-079,說明已接到Mandiant與Google的通報,說明受此漏洞影響的產品資訊與緩解方法。
Dell RecoverPoint for Virtual Machines內建的Apache Tomcat Manager,其預設管理員帳號與密碼被寫死在設定檔。任何取得該組帳密的攻擊者,均可透過Tomcat Manager的部署端點上傳惡意的WAR(Web Application Archive)檔案,並以root權限在設備上執行任意指令。
調查人員重建了攻擊者的完整入侵流程。UNC6201利用上述寫死(hard-coded)的帳密,向Tomcat Manager上傳包含SLAYSTYLE網頁後門(Web Shell)的惡意WAR檔案,藉此在設備上取得初步的指令執行能力。隨後,攻擊者進一步部署Brickstorm後門,並透過修改設備開機時會自動執行的合法腳本,確保惡意程式在設備重啟後仍能持續運作。
Mandiant在2025年9月觀察到攻擊者將Brickstorm替換為一個全新的惡意程式,命名為Grimbolt。Grimbolt以C#語言撰寫,並採用.NET自2022年引入的原生預先編譯(Native AOT)技術,再以UPX工具加殼壓縮。
與傳統.NET程式在執行時才進行即時編譯(JIT)不同,Native AOT在編譯階段便直接產生機器碼,使程式不再包含傳統C#程式慣有的CIL中繼資料,大幅增加了資安研究人員進行靜態分析的難度,同時提升了在資源受限設備上的執行效能。Grimbolt提供遠端指令執行能力,並沿用與Brickstorm相同的命令與控制基礎設施。
除了針對Dell設備的攻擊外,調查人員也在受害者的VMware虛擬化基礎設施中,發現了數種先前未曾公開記錄的攻擊手法。
其一是幽靈網卡(Ghost NICs)技術,攻擊者在ESXi伺服器上運行的虛擬機器中,臨時建立新的虛擬網路介面,並透過這些介面作為跳板,滲透至受害組織的內部網路及雲端SaaS服務。其二是利用iptables實現單封包授權(Single Packet Authorization,SPA),攻擊者在受害的vCenter設備上建立一套隱密的連線驗證機制,只有發送了特定識別字串的來源IP位址,才會在限定時間窗口內獲准連線至隱藏的服務通訊埠。
UNC6201組織被懷疑與中國有關聯,研究人員指出其與另一個被追蹤為UNC5221(Silk Typhoon)的組織存在明顯重疊,但研究人員不認為兩者為同一組織。Dell已就CVE-2026-22769發布安全公告,用戶應參閱官方公告並套用修補程式。
熱門新聞
2026-02-20
2026-02-20
2026-02-18
2026-02-20
2026-02-18
2026-02-18