กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนได้แอบโจมตีผ่านช่องโหว่ระดับ Critical ของ Dell ในลักษณะการโจมตีแบบ Zero-day ซึ่งเริ่มขึ้นตั้งแต่กลางปี 2024
นักวิจัยด้านความปลอดภัยจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยว่า กลุ่ม UNC6201 ได้โจมตีผ่านช่องโหว่ hardcoded-credential ที่มีระดับความรุนแรงสูงสุด (CVE-2026-22769) โดยพบในโปรแกรม Dell RecoverPoint for Virtual Machines ซึ่งเป็นโซลูชันที่ใช้สำหรับการสำรอง และกู้คืนข้อมูลของ VMware
ทาง Dell ระบุไว้ในประกาศคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันอังคารที่ผ่านมาว่า Dell RecoverPoint for Virtual Machines เวอร์ชันที่ต่ำกว่า 6.0.3.1 HF1 มีช่องโหว่จากการใช้รหัสผ่านแบบ Hardcoded
ช่องโหว่นี้ถือว่าอยู่ในระดับ Critical เนื่องจากผู้โจมตีจากภายนอกที่ไม่ได้รับอนุญาต และทราบข้อมูล Hardcoded credential อาจใช้ช่องโหว่นี้เพื่อเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต และเข้าถึงสิทธิ์ระดับ Root ได้ โดย Dell แนะนำให้ลูกค้าทำการอัปเกรด หรือใช้มาตรการแก้ไขอย่างใดอย่างหนึ่งโดยเร็วที่สุด
เมื่อโจมตีเข้าสู่เครือข่ายได้แล้ว กลุ่ม UNC6201 จะใช้มัลแวร์หลายตัว รวมถึงมัลแวร์ประเภท Backdoor ที่ชื่อว่า "Grimbolt" ซึ่งเขียนด้วยภาษา C# และสร้างขึ้นด้วยเทคนิค Compilation แบบใหม่ มัลแวร์ตัวนี้ถูกออกแบบมาให้ทำงานได้รวดเร็วขึ้น และตรวจจับยากกว่ามัลแวร์รุ่นก่อนหน้าอย่าง "Brickstorm"
แม้ว่านักวิจัยจะสังเกตเห็นว่ากลุ่มผู้โจมตีได้เปลี่ยนจากการใช้ Brickstorm มาเป็น Grimbolt ในช่วงเดือนกันยายนปี 2025 แต่ก็ยังไม่แน่ชัดว่าการเปลี่ยนแปลงนี้เป็นการอัปเกรดตามแผนที่วางไว้ หรือเป็นการตอบสนองต่อความพยายามในการรับมือกับเหตุการณ์ที่นำโดย Mandiant และพันธมิตรในอุตสาหกรรมรายอื่น ๆ หรือไม่
การมุ่งเป้าไปที่เซิร์ฟเวอร์ VMware ESXi
ผู้โจมตีได้ใช้เทคนิคใหม่ ๆ เพื่อโจมตีเข้าไปใน Virtualized infrastructure รวมถึงการสร้าง hidden network interfaces (หรือที่เรียกว่า Ghost NICs) บนเซิร์ฟเวอร์ VMware ESXi เพื่อโจมตีต่ออย่างเงียบ ๆ ไปทั่วเครือข่าย
Mark Karayan ผู้จัดการฝ่ายสื่อสารของ Mandiant ระบุกับ BleepingComputer ว่า กลุ่ม UNC6201 ได้ใช้ virtual network port (หรือ Ghost NICs) เพื่อขยายการโจมตีจาก VM ที่ถูกโจมตีไปยัง internal หรือระบบ SaaS environments ซึ่งเป็นเทคนิคใหม่ที่ Mandiant ไม่เคยพบเห็นมาก่อนในการตรวจสอบ
เช่นเดียวกับแคมเปญ BRICKSTORM ก่อนหน้านี้ที่กลุ่ม UNC6201 ยังคงมุ่งเป้าไปที่อุปกรณ์ ซึ่งโดยปกติแล้วมักจะไม่มีการติดตั้งซอฟต์แวร์ endpoint detection and response (EDR) ทำให้สามารถซ่อนตัวได้เป็นเวลานาน
นักวิจัยพบจุดที่เชื่อมโยงกันระหว่างกลุ่ม UNC6201 และกลุ่มผู้โจมตีจากจีนอีกกลุ่มหนึ่งคือ UNC5221 ซึ่งเป็นที่รู้จักจากการโจมตีช่องโหว่ Zero-day ของ Ivanti เพื่อโจมตีหน่วยงานรัฐบาลด้วยมัลแวร์เฉพาะทาง อย่างเช่น Spawnant และ Zipline นอกจากนี้ กลุ่มดังกล่าวยังเคยถูกเชื่อมโยงกับกลุ่มผู้โจมตีชื่อดังที่รัฐบาลจีนหนุนหลังอย่าง Silk Typhoon (แม้ว่าทาง GTIG จะไม่ได้มองว่าทั้งสองกลุ่มนี้เป็นกลุ่มเดียวกันก็ตาม)
ในเดือนกันยายนที่ผ่านมา GTIG ระบุเพิ่มเติมว่าแฮ็กเกอร์กลุ่ม UNC5221 ได้ใช้มัลแวร์ Brickstorm (บริษัท Mandiant ซึ่งเป็นบริษัทในเครือของ Google ได้บันทึกไว้เป็นครั้งแรกในเดือนเมษายน 2024) เพื่อแฝงตัวเข้าไปในเครือข่ายขององค์กรต่าง ๆ ของสหรัฐอเมริกาในภาคส่วนกฎหมาย และเทคโนโลยีได้ในระยะยาว ขณะเดียวกันทาง CrowdStrike ก็ได้เชื่อมโยงการโจมตีด้วยมัลแวร์ Brickstorm ที่พุ่งเป้าไปยังเซิร์ฟเวอร์ VMware vCenter ของบริษัทด้านกฎหมาย เทคโนโลยี และการผลิตในสหรัฐฯ เข้ากับกลุ่มแฮ็กเกอร์จีนที่พวกเขาติดตามในชื่อ Warp Panda
เพื่อป้องกันการโจมตีผ่านช่องโหว่ CVE-2026-22769 ที่กำลังเกิดขึ้นในขณะนี้ ลูกค้าของ Dell ได้รับคำแนะนำให้ปฏิบัติตามขั้นตอนการแก้ไขที่ระบุไว้ในประกาศแนะนำด้านความปลอดภัย (Security Advisory) URL : hxxps[:]//www[.]dell[.]com/support/kbdoc/en-us/000426773/dsa-2026-079#[:]~[:]text=Affected%20Products%20%26%20Remediation,-Product
ที่มา : bleepingcomputer
You must be logged in to post a comment.