CVE-2026-22769: уязвимость нулевого дня Dell RecoverPoint позволила UNC6201 развернуть GRIMBOLT

Mandiant и Google Threat Intelligence Group выявили серьёзную уязвимость zero-day в Dell RecoverPoint для виртуальных машин — CVE-2026-22769 с оценкой CVSSv3.0 = 10.0. По данным расследования, эксплуатировать её с середины 2024 года использовала преступная хакерская группировка UNC6201, связанная исследователями с КНР. Последствия атак показывают эволюцию тактики и инструментов нападавших, включая переход от BRICKSTORM к новому бэкдору GRIMBOLT.

Кратко о ключевых выводах

• Уязвимость: CVE-2026-22769 в Dell RecoverPoint для виртуальных машин, CVSS 10.0.
• Актор: UNC6201, подозреваемо связанный с Китаем; активность с середины 2024.
• Эксплуатация обеспечивала lateral movement, persistence и развертывание нескольких семейств вредоносного ПО: SLAYSTYLE, BRICKSTORM и новый GRIMBOLT.
• Переход от BRICKSTORM к GRIMBOLT зафиксирован в сентябре 2025 года.

«Этой уязвимостью пользовалась преступная хакерская группировка UNC6201, … Эксплуатация позволяет перемещаться в разных средах, поддерживать постоянный доступ и развертывать различное вредоносное ПО», — отмечают Mandiant и Google Threat Intelligence Group.

Технические детали: как работала атака

Исследование началось с анализа среды жертвы, в которой обнаружили активные соединения command and control (C2) как к BRICKSTORM, так и к GRIMBOLT. Аналитики зафиксировали следующие приемы и артефакты:

• Множественные веб-запросы к Apache Tomcat Manager с использованием имени пользователя admin, приводившие к развертыванию вредоносного WAR-файла, содержащего веб-оболочку SLAYSTYLE.
• Создание временных сетевых портов на виртуальных машинах внутри сервера ESXi, что облегчало дальнейшее перемещение по внутренним сетям и доступ к облачным сервисам (SaaS).
• Выполнение команд проксирования через iptables с помощью компрометированной веб-оболочки SLAYSTYLE — сложная тактика для обхода обнаружения и сокрытия трафика.
• Артефакты вредоносных загрузок и записи в журналы приложений указывают на устоявшиеся методы закрепления, применяемые BRICKSTORM и GRIMBOLT.

GRIMBOLT: новый бэкдор и почему он опасен

GRIMBOLT — бэкдор foothold, разработанный на C#, использующий встроенную компиляцию с опережением времени (AOT) и упакованный в UPX. Основные особенности и последствия для обнаружения и реагирования:

• AOT повышает производительность на устройствах с ограниченными ресурсами и устраняет метаданные Common Intermediate Language (CIL), что затрудняет статический анализ.
• Упаковка в UPX дополнительно усложняет анализ и обнаружение сигнатурными средствами.
• GRIMBOLT предоставляет возможности удалённой оболочки, выполняя роль устойчивого foothold в компрометированных средах.
• Мотив перехода с BRICKSTORM на GRIMBOLT остаётся неопределённым: это может быть как стратегическая эволюция инструментов, так и реакция на предыдущие инциденты.

Тактика, техники и процедуры (TTP)

Расследование подчёркивает сочетание нескольких тактик, позволяющих нападающим углублять и сохранять присутствие в сети жертвы:

• Эксплуатация уязвимости в виртуализированной инфраструктуре (Dell RecoverPoint) для начального освоения среды.
• Использование Tomcat Manager и развертывание WAR-файлов как вектор для загрузки веб-оболочек (SLAYSTYLE).
• Создание временных портов на VM в ESXi для установления туннелей и pivoting.
• Команды iptables через веб-оболочки для проксирования трафика и сокрытия C2-коммуникаций.

Практические рекомендации для ИБ‑команд

На основе полученных данных следует предпринять срочные и долгосрочные меры для снижения риска компрометации:

• Провести немедленный аудит инвентаря: выявить все инстансы Dell RecoverPoint и при наличии — изолировать от сети до получения рекомендаций производителя.
• Мониторить и анализировать веб‑журналы Tomcat Manager, особенно запросы на развертывание WAR-файлов и аутентификацию под admin или другими привилегированными аккаунтами.
• Искать следы SLAYSTYLE/BRICKSTORM/GRIMBOLT: UPX‑упакованные исполняемые файлы, необычные обращения к C2, записи об изменениях iptables, временно открытые порты на VM.
• Повысить контроль за ESXi‑серверами: логировать создание/закрытие портов на виртуальных машинах и проверять аномалии сетевой конфигурации.
• Готовиться к применению патчей или mitigations от вендора и оперативно их внедрять; при отсутствии патча — рассмотреть компенсационные меры и сегментацию.
• Организовать реагирование на инциденты: собрать forensic‑артефакты, сохранить логи Tomcat и приложений для последующего анализа и корреляции.

Вывод

Инцидент с CVE-2026-22769 и активностью UNC6201 демонстрирует, что злоумышленники продолжают целенаправленно атаковать виртуализированные решения и быстро развивать инструментарий — от веб‑оболочек до AOT‑собранных бэкдоров. Организациям, использующим решения Dell для виртуализации, необходимо усилить мониторинг, проверять журналы Tomcat Manager и готовиться к срочным корректирующим действиям при обнаружении признаков компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.