СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

GRIMBOLT и UNC6201: C2-кампания через CVE-2026-22769

Анализ внешней инфраструктуры командно‑управляющего (C2) центра, связанного с вредоносным ПО GRIMBOLT, выявил скоординированные усилия по длительной шпионской операции. Центр расследований начал с известного IP‑адреса 149.248.11.71, идентифицированного как сервер C2 GRIMBOLT, и проследил связи до кластера, который атрибутируется группе угроз UNC6201 — акторы, подозреваемые в связях с Народной Республикой Китай.

Краткие факты

  • Идентифицированный C2: 149.248.11.71.
  • Эксплуатация уязвимости: zero‑day в RecoverPoint для виртуальных машин от Dell, отслеживаемая как CVE-2026-22769.
  • Вредоносное ПО: GRIMBOLT, реализовано на C#.
  • Характер операции: длительная кампания шпионажа с целью поддержания постоянного доступа.
  • Связанные кластеры/операторы: взаимодействия с BRICKSTORM (операторы отслеживаются как WARP PANDA); частичное совпадение с UNC5221 (aka Silk Typhoon), но Google не считает группы тождественными.

Сведения о связях между кампанией и BRICKSTORM

Аналитики отметили, что акторы UNC6201 начали заменять старые бинарные файлы BRICKSTORM на вредоносное ПО GRIMBOLT. Это указывает на эволюцию инструментов в рамках одной операции или координированную смену платформы для поддержания доступа. Несмотря на частичные пересечения индикаторов, исследователи (включая Google) не считают UNC6201 тождественным с кластером UNC5221 (Silk Typhoon).

«Инициатива, по-видимому, представляет собой длительную операцию шпионажа, направленную на поддержание постоянного доступа.»

Техническая методология разведки

Анализ внешней инфраструктуры проводился с использованием наборов стандартных и специально подобранных телеметрических методов:

  • WHOIS и пассивные записи DNS для профилирования IP/доменов;
  • Снятие информации о доступных портах и конфигурациях сервисов для поиска совпадений;
  • Анализ отпечатков сертификатов X509 для выявления клонированных развертываний виртуальных машин;
  • Сопоставление номеров автономных систем (AS numbers) и сетевой адресации для определения принадлежности к одному кластеру.

Использование общих X509‑сертификатов позволило обнаружить, что несколько IP‑адресов, связанных с GRIMBOLT, вероятно, являются частью одной инфраструктурной группировки: один и тот же сертификат присутствовал на разных адресах. Это указывает на автоматизированное развертывание виртуальных машин с клонированием конфигураций (например, сохранение статических имен NetBIOS в шаблонах).

Инфраструктурные находки и подтверждения

  • Идентичные X509‑сертификаты на разных IP указывают на клонирование VM‑шаблонов при массовом развертывании C2‑нод.
  • Совпадающие AS numbers и наборы открытых портов подтверждают, что ряд адресов принадлежит одному оперативному кластеру.
  • В то же время зафиксировано несоответствие по наличию конкретного домена, связанного с GRIMBOLT, что вызывает вопросы о полноте телеметрии и возможных пропусках в данных.

Ограничения и предупреждения

Анализ внешней инфраструктуры имеет существенные ограничения. По самой по себе сетевой телеметрии нельзя окончательно судить о внутренних процессах на серверах или о том, хранится ли там вредоносное ПО. Для подтверждения таких гипотез необходимы более сложные методы — судебно‑компьютерная экспертиза, доступ к образам дисков, памятью и логам хостов.

Рекомендации для оперативной защиты

  • Добавить обнаруженный C2‑сервер 149.248.11.71 и связанные IP‑адреса в списки блокировки (blocklists) на периметре и в EDR/NGFW.
  • Организовать непрерывный мониторинг соединений с указанными адресами и доменами, а также мониторинг аномалий в трафике и поведении хостов.
  • Проверить наличие индикаторов компрометации, характерных для GRIMBOLT/BRICKSTORM, в корпоративной среде и провести аудит защищённости виртуальной инфраструктуры, особенно компонентов RecoverPoint от Dell.
  • При подозрении на компрометацию — инициировать forensic‑расследование с сохранением образов памяти и дисков для детального изучения.
  • Обновить правила обнаружения по отпечаткам X509 и шаблонам NetBIOS на предмет массовых клонирований и повторного использования сертификатов.

Вывод

Расследование подтверждает, что кампания с участием UNC6201 использует сложную и масштабируемую C2‑инфраструктуру для развёртывания GRIMBOLT, эксплуатируя критическую уязвимость CVE-2026-22769. Совокупность признаков — идентичные X509‑сертификаты, совпадающие AS numbers и конфигурации портов — указывает на единый оперативный кластер. Однако имеющиеся несоответствия и обязательные ограничения внешней телеметрии означают, что окончательные выводы о внутреннем хранении и процессах на серверах требуют судебно‑технической верификации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: