สรุปสั้น

กลุ่มแฮ็กเกอร์จีนที่ถูกติดตามในชื่อ UNC6201 ใช้ช่องโหว่ zero-day ร้ายแรงที่สุดระดับ CVSS 10.0 ใน Dell RecoverPoint for Virtual Machines เข้าถึงระบบขององค์กรเป้าหมายมานานกว่า 18 เดือนโดยไม่ถูกตรวจพบ ช่องโหว่ CVE-2026-22769 เกิดจาก hardcoded administrator password ที่ดึงมาจาก Apache Tomcat ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงระบบด้วยสิทธิ์ root ได้ทันที กลุ่ม UNC6201 เริ่มใช้มัลแวร์ Brickstorm ในการเจาะระบบตั้งแต่กลางปี 2024 จากนั้นในเดือนกันยายนได้อัปเกรดเป็น Grimbolt ซึ่งเป็นเวอร์ชันที่ซับซ้อนกว่าและตรวจจับได้ยากขึ้นมาก Dell ออกแพตช์แล้วและ CISA สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แก้ไขภายใน 3 วัน

รายละเอียดข่าว

เว็บไซต์ CyberScoop รายงานเมื่อวันที่ 15 พฤษภาคม พ.ศ. 2569 ว่า นักวิจัยจาก Google ค้นพบว่ากลุ่มแฮ็กเกอร์จีน UNC6201 ใช้ช่องโหว่ zero-day ใน Dell RecoverPoint for Virtual Machines มาตั้งแต่กลางปี 2024 โดยที่ไม่มีใครสังเกตเห็นตลอดระยะเวลากว่า 18 เดือน ช่องโหว่ CVE-2026-22769 เกิดจากรหัสผ่านผู้ดูแลระบบที่ถูกฝังไว้ในโค้ด (hardcoded) ซึ่งดึงมาจาก Apache Tomcat ทำให้มีคะแนน CVSS สูงสุด 10.0 ในช่วงแรกผู้โจมตีใช้มัลแวร์ Brickstorm เป็นเครื่องมือหลักในการเจาะระบบ แต่เมื่อถึงเดือนกันยายนได้เปลี่ยนมาใช้ Grimbolt ซึ่งเป็นมัลแวร์เวอร์ชันใหม่ที่มีความสามารถในการหลบหลีกการตรวจจับสูงขึ้นอย่างมาก นักวิจัยทราบถึงเหยื่อไม่ถึงสิบกว่าองค์กร แต่เนื่องจากยังไม่ทราบขอบเขตที่แท้จริงของแคมเปญนี้ จึงแนะนำให้องค์กรที่เคยถูก Brickstorm โจมตีเฝ้าระวัง Grimbolt ในสภาพแวดล้อมของตนด้วย Dell Technologies ได้เปิดเผยช่องโหว่และออกแพตช์แก้ไขแล้ว

รายละเอียดช่องโหว่

CVE-2026-22769 เป็นช่องโหว่ประเภท hardcoded credentials (CWE-798) ใน Dell RecoverPoint for Virtual Machines ผลิตภัณฑ์นี้มีรหัสผ่านผู้ดูแลระบบที่ถูกฝังไว้ในโค้ดโดยตรง ซึ่งดึงมาจากการตั้งค่า Apache Tomcat เริ่มต้น ผู้โจมตีจากระยะไกลที่ไม่ต้องยืนยันตัวตนสามารถใช้รหัสผ่านนี้เข้าถึงระบบด้วยสิทธิ์ root ได้ทันที เมื่อเข้าถึงได้แล้ว กลุ่ม UNC6201 จะติดตั้งมัลแวร์ Brickstorm หรือ Grimbolt เพื่อสร้างช่องทางเข้าถาวร (persistent backdoor) ซึ่งทำให้สามารถเข้าถึงระบบได้แม้หลังจากรีบูตเครื่อง

รายงานเชิงลึกจากบริษัท Mandiant และ Google Threat Intelligence Group (GTIG) ให้รายละเอียดเพิ่มเติมว่า นักวิจัยค้นพบรหัสผ่าน default แบบ hardcoded ของผู้ใช้ admin อยู่ในไฟล์ /home/kos/tomcat9/tomcat-users.xml ผู้โจมตีใช้รหัสผ่านนี้ยืนยันตัวตนกับ Tomcat Manager แล้วอัปโหลดไฟล์ WAR อันตรายผ่าน endpoint /manager/text/deploy เพื่อวางเว็บเชลล์ชื่อ SLAYSTYLE และรันคำสั่งด้วยสิทธิ์ root ส่วนมัลแวร์ Grimbolt เป็น backdoor ที่เขียนด้วยภาษา C# คอมไพล์แบบ native ahead-of-time (AOT) และบีบอัดด้วย UPX ออกแบบมาให้วิเคราะห์แบบ static ได้ยากขึ้นและทำงานได้ดีบนอุปกรณ์ที่มีทรัพยากรจำกัด โดยใช้ C2 เดียวกับ Brickstorm รุ่นก่อน กลุ่มนี้สร้าง persistence บนอุปกรณ์ Dell ด้วยการแก้สคริปต์ที่ถูกต้องตามระบบชื่อ convert_hosts.sh ให้เรียก backdoor ตอนบูตผ่าน rc.local นอกจากนี้ Mandiant ยังพบเทคนิคใหม่ในการเจาะเข้าโครงสร้าง VMware ทั้งการสร้าง “Ghost NICs” (พอร์ตเครือข่ายชั่วคราวบน VM เพื่อ pivot อย่างลับ ๆ) และการใช้ iptables ทำ Single Packet Authorization (SPA) ซ่อนช่องทางเข้า ทั้งนี้ GTIG ระบุว่า UNC6201 มีจุดทับซ้อนกับกลุ่ม UNC5221 (ที่ถูกอ้างถึงในนาม Silk Typhoon) แม้ยังไม่ถือว่าเป็นกลุ่มเดียวกัน

ผลกระทบต่อไทย

Dell RecoverPoint for Virtual Machines เป็นโซลูชัน disaster recovery ที่ใช้ในองค์กรขนาดใหญ่ทั่วโลก รวมถึงธนาคาร โรงพยาบาล และหน่วยงานราชการในประเทศไทยที่ใช้โครงสร้างพื้นฐาน Dell ในการสำรองและกู้คืนระบบ virtual machine ช่องโหว่นี้มีอันตรายสูงเป็นพิเศษเพราะเกี่ยวข้องกับกลุ่มจารกรรมไซเบอร์ระดับรัฐจากจีน ซึ่งมีประวัติโจมตีประเทศในภูมิภาคอาเซียนมาโดยตลอด หากระบบ RecoverPoint ในองค์กรไทยถูกเจาะ ผู้โจมตีจะเข้าถึง backup data ทั้งหมดและอาจใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่น ๆ ต่อเนื่อง

คำแนะนำ

  • ตรวจสอบว่าองค์กรใช้ Dell RecoverPoint for Virtual Machines หรือไม่ หากใช้ให้อัปเดตแพตช์โดยด่วน
  • ค้นหา Indicators of Compromise (IOC) ของ Brickstorm และ Grimbolt ในระบบเครือข่าย
  • ตรวจสอบ log การเข้าถึง RecoverPoint ย้อนหลังเพื่อหาการเข้าถึงที่ผิดปกติ
  • เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับ Dell RecoverPoint ทันที
  • จำกัดการเข้าถึง management interface ของ RecoverPoint ให้อยู่ในเครือข่ายภายในเท่านั้น
  • พิจารณาใช้ EDR/XDR เพื่อตรวจจับ Brickstorm/Grimbolt และ lateral movement
  • ปิดการเข้าถึง management interface ของ RecoverPoint จากอินเทอร์เน็ต

Indicators of Compromise (IoCs)

หมายเหตุ: indicator ทั้งหมด defang แล้ว ([.]) เพื่อความปลอดภัย ก่อนนำไปใช้ต้องแปลงกลับเป็นรูปแบบปกติ

SHA256 Hash (ไฟล์มัลแวร์)

Hashตระกูล / ชื่อไฟล์
24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0cGRIMBOLT (support)
dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591GRIMBOLT (out_elf_2)
92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624aSLAYSTYLE web shell (default_jsp.java)
aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878BRICKSTORM
2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65dfBRICKSTORM (splisten)
320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759BRICKSTORM
90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035BRICKSTORM
45313a6745803a7f57ff35f5397fdf117eaec008a76417e6e2ac8a6280f7d830BRICKSTORM

Network Indicator (C2)

Indicatorชนิด
wss://149.248.11[.]71/rest/apisessionC2 endpoint ของ GRIMBOLT
149.248.11[.]71C2 IP ของ GRIMBOLT

Host-based Indicator (ร่องรอยบนอุปกรณ์ Dell RecoverPoint)

Indicatorคำอธิบาย
/home/kos/tomcat9/tomcat-users.xmlไฟล์เก็บ hardcoded credential ของผู้ใช้ admin
/manager/text/deployendpoint Tomcat Manager ที่ใช้ deploy WAR อันตราย
/home/kos/kbox/src/installation/distribution/convert_hosts.shสคริปต์ที่ถูกแก้ให้เรียก backdoor ตอนบูต
/home/kos/auditlog/fapi_cl_audit_log.loglog ที่ควรตรวจหา request ไปยัง /manager

แหล่งอ้างอิง