-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
中国関連ハッカー、Dell製品のゼロデイを2024年半ばから悪用:CVE-2026-22769
BleepingComputer – February 17, 2026
中国との関連が疑われるハッキンググループ「UNC6201」が、2024年半ばからDell製品の脆弱性CVE-2026-22769をゼロデイとして密かに悪用していたという。MandiantとGoogleの脅威インテリジェンスグループ(GTIG)が報告した。
Dell製品のゼロデイ脆弱性:CVE-2026-22769
Dellは2月17日、VMware仮想マシンのバックアップおよびリカバリーに使われるソリューション「Dell RecoverPoint for Virtual Machines」における重大な脆弱性CVE-2026-22769のアドバイザリを公開。CVE-2026-22769はハードコードされた認証情報の脆弱性で、6.0.3.1 HF1より前のバージョンが影響を受ける。
Dellによれば、この脆弱性は「ハードコードされた認証情報についての知識を有する認証されていないリモートの攻撃者」に悪用される可能性があり、悪用を成功させた攻撃者に基盤となるOSへの不正アクセスやrootレベルの永続性の維持を許す恐れがあることから、「critical」な脆弱性だとみなされるという。CVSSv3.1 スコアも、満点の10.0となっている。
UNC6201がラテラルムーブメントのために悪用
Mandiant/GTIGの研究者らによれば、UNC6201は標的ネットワークに侵入後、CVE-2026-22769をラテラルムーブメントおよび永続性維持のため、また、SLAYSTYLEやBRICKSTORM、GRIMBOLTといったマルウェアを展開するために悪用していたとされる。初期アクセスの手段は確認されていないものの、UNC6201は初期アクセスのためにVPNコンセントレータなどのエッジアプライアンスを狙うことが知られており、今回の攻撃もこうしたアプライアンスが侵入口となった可能性がある。
新たなバックドアマルウェア「GRIMBOLT」
展開されたマルウェアのうち、GRIMBOLTは新しいバックドアで、研究者らは2025年9月にBRICKSTORMがGRIMBOLTへと置き換えられたのを観測している。C#で書かれ、比較的新しいコンパイル手法で構築されたGRIMBOLTは先行版であるBRICKSTORMよりも動作が早い上、解析もより困難になっているとされる。
Mandiant/GTIGによれば、UNC6201は正規のシェルスクリプト「convert_hosts.sh」を書き換えてマルウェアへのパスを含めることにより、Dell RecoverPoint for Virtual Machines上でBRICKSTORMおよびGRIMBOLTの永続性を確立していたという。
UNC6201の新たなTTPも明らかに
脆弱性CVE-2026-22769の悪用に加え、研究者らはこれまで報告されていなかったUNC6201の新たなTTPも発見。その1つが、VMware ESXiサーバー上に隠しネットワークインターフェース(通称「ゴーストNIC」)を作成し、被害者ネットワーク内で密かに横移動するというもの。UNC6201は侵害したVMから内部環境やSaaS環境へ移動するため、この一時的な仮想ネットワークポート(ゴーストNIC)を使用しているという。
加えて研究者らは、UNC6201がWebシェルSLAYSTYLEを使って複数のiptablesコマンドを実行していたことも発見。これらのコマンドは、シングルパケット認証(SPA)のために使われていたとされる。
別の中国関連グループとの重複も
UNC6201について、Mandiantは「PRC(中華人民共和国)との繋がりが疑われる脅威クラスター」と説明。さらに、別の中国関連脅威クラスターであるUNC5221とUNC6201の間には重複が見られると伝えた。
UNC5221は過去に、政府機関を狙ってIvanti Endpoint Manager Mobile(EPMM)における脆弱性CVE-2025-4427およびCVE-2025-4428を悪用し、SpawnantやZiplineマルウェアを展開していたと報告されている。また、悪名高い中国の国家支援型グループSilk Typhoonとの関連が指摘されたこともある。
さらに2025年9月には、Mandiant/GTIGがUNC5221によるBRICKSTORMの展開について報告していた。一方で12月、CrowdStrikeは米国内の法律・テクノロジー・製造関連企業のVMware vCenterを標的としたBRICKSTORMマルウェアによる攻撃を、「Warp Panda」という中国のハッキンググループと関連づけている。
いずれにせよ、CVE-2026-22769を狙った攻撃を防ぐため、Dell製品の利用者には可及的速やかにアップグレードを行うか、提供されている緩和策を適用することが推奨される。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
地政学レポート
OSINT関連レポート
ディープ&ダークウェブレポート
とは?.jpg)