สรุปสั้น
กลุ่มแฮ็กเกอร์จีนที่ถูกติดตามในชื่อ UNC6201 ใช้ช่องโหว่ zero-day ร้ายแรงที่สุดระดับ CVSS 10.0 ใน Dell RecoverPoint for Virtual Machines เข้าถึงระบบขององค์กรเป้าหมายมานานกว่า 18 เดือนโดยไม่ถูกตรวจพบ ช่องโหว่ CVE-2026-22769 เกิดจาก hardcoded administrator password ที่ดึงมาจาก Apache Tomcat ทำให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถเข้าถึงระบบด้วยสิทธิ์ root ได้ทันที กลุ่ม UNC6201 เริ่มใช้มัลแวร์ Brickstorm ในการเจาะระบบตั้งแต่กลางปี 2024 จากนั้นในเดือนกันยายนได้อัปเกรดเป็น Grimbolt ซึ่งเป็นเวอร์ชันที่ซับซ้อนกว่าและตรวจจับได้ยากขึ้นมาก Dell ออกแพตช์แล้วและ CISA สั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ แก้ไขภายใน 3 วัน
รายละเอียดข่าว
เว็บไซต์ CyberScoop รายงานเมื่อวันที่ 15 พฤษภาคม พ.ศ. 2569 ว่า นักวิจัยจาก Google ค้นพบว่ากลุ่มแฮ็กเกอร์จีน UNC6201 ใช้ช่องโหว่ zero-day ใน Dell RecoverPoint for Virtual Machines มาตั้งแต่กลางปี 2024 โดยที่ไม่มีใครสังเกตเห็นตลอดระยะเวลากว่า 18 เดือน ช่องโหว่ CVE-2026-22769 เกิดจากรหัสผ่านผู้ดูแลระบบที่ถูกฝังไว้ในโค้ด (hardcoded) ซึ่งดึงมาจาก Apache Tomcat ทำให้มีคะแนน CVSS สูงสุด 10.0 ในช่วงแรกผู้โจมตีใช้มัลแวร์ Brickstorm เป็นเครื่องมือหลักในการเจาะระบบ แต่เมื่อถึงเดือนกันยายนได้เปลี่ยนมาใช้ Grimbolt ซึ่งเป็นมัลแวร์เวอร์ชันใหม่ที่มีความสามารถในการหลบหลีกการตรวจจับสูงขึ้นอย่างมาก นักวิจัยทราบถึงเหยื่อไม่ถึงสิบกว่าองค์กร แต่เนื่องจากยังไม่ทราบขอบเขตที่แท้จริงของแคมเปญนี้ จึงแนะนำให้องค์กรที่เคยถูก Brickstorm โจมตีเฝ้าระวัง Grimbolt ในสภาพแวดล้อมของตนด้วย Dell Technologies ได้เปิดเผยช่องโหว่และออกแพตช์แก้ไขแล้ว
รายละเอียดช่องโหว่
CVE-2026-22769 เป็นช่องโหว่ประเภท hardcoded credentials (CWE-798) ใน Dell RecoverPoint for Virtual Machines ผลิตภัณฑ์นี้มีรหัสผ่านผู้ดูแลระบบที่ถูกฝังไว้ในโค้ดโดยตรง ซึ่งดึงมาจากการตั้งค่า Apache Tomcat เริ่มต้น ผู้โจมตีจากระยะไกลที่ไม่ต้องยืนยันตัวตนสามารถใช้รหัสผ่านนี้เข้าถึงระบบด้วยสิทธิ์ root ได้ทันที เมื่อเข้าถึงได้แล้ว กลุ่ม UNC6201 จะติดตั้งมัลแวร์ Brickstorm หรือ Grimbolt เพื่อสร้างช่องทางเข้าถาวร (persistent backdoor) ซึ่งทำให้สามารถเข้าถึงระบบได้แม้หลังจากรีบูตเครื่อง
รายงานเชิงลึกจากบริษัท Mandiant และ Google Threat Intelligence Group (GTIG) ให้รายละเอียดเพิ่มเติมว่า นักวิจัยค้นพบรหัสผ่าน default แบบ hardcoded ของผู้ใช้ admin อยู่ในไฟล์ /home/kos/tomcat9/tomcat-users.xml ผู้โจมตีใช้รหัสผ่านนี้ยืนยันตัวตนกับ Tomcat Manager แล้วอัปโหลดไฟล์ WAR อันตรายผ่าน endpoint /manager/text/deploy เพื่อวางเว็บเชลล์ชื่อ SLAYSTYLE และรันคำสั่งด้วยสิทธิ์ root ส่วนมัลแวร์ Grimbolt เป็น backdoor ที่เขียนด้วยภาษา C# คอมไพล์แบบ native ahead-of-time (AOT) และบีบอัดด้วย UPX ออกแบบมาให้วิเคราะห์แบบ static ได้ยากขึ้นและทำงานได้ดีบนอุปกรณ์ที่มีทรัพยากรจำกัด โดยใช้ C2 เดียวกับ Brickstorm รุ่นก่อน กลุ่มนี้สร้าง persistence บนอุปกรณ์ Dell ด้วยการแก้สคริปต์ที่ถูกต้องตามระบบชื่อ convert_hosts.sh ให้เรียก backdoor ตอนบูตผ่าน rc.local นอกจากนี้ Mandiant ยังพบเทคนิคใหม่ในการเจาะเข้าโครงสร้าง VMware ทั้งการสร้าง “Ghost NICs” (พอร์ตเครือข่ายชั่วคราวบน VM เพื่อ pivot อย่างลับ ๆ) และการใช้ iptables ทำ Single Packet Authorization (SPA) ซ่อนช่องทางเข้า ทั้งนี้ GTIG ระบุว่า UNC6201 มีจุดทับซ้อนกับกลุ่ม UNC5221 (ที่ถูกอ้างถึงในนาม Silk Typhoon) แม้ยังไม่ถือว่าเป็นกลุ่มเดียวกัน
ผลกระทบต่อไทย
Dell RecoverPoint for Virtual Machines เป็นโซลูชัน disaster recovery ที่ใช้ในองค์กรขนาดใหญ่ทั่วโลก รวมถึงธนาคาร โรงพยาบาล และหน่วยงานราชการในประเทศไทยที่ใช้โครงสร้างพื้นฐาน Dell ในการสำรองและกู้คืนระบบ virtual machine ช่องโหว่นี้มีอันตรายสูงเป็นพิเศษเพราะเกี่ยวข้องกับกลุ่มจารกรรมไซเบอร์ระดับรัฐจากจีน ซึ่งมีประวัติโจมตีประเทศในภูมิภาคอาเซียนมาโดยตลอด หากระบบ RecoverPoint ในองค์กรไทยถูกเจาะ ผู้โจมตีจะเข้าถึง backup data ทั้งหมดและอาจใช้เป็นจุดเริ่มต้นในการโจมตีระบบอื่น ๆ ต่อเนื่อง
คำแนะนำ
- ตรวจสอบว่าองค์กรใช้ Dell RecoverPoint for Virtual Machines หรือไม่ หากใช้ให้อัปเดตแพตช์โดยด่วน
- ค้นหา Indicators of Compromise (IOC) ของ Brickstorm และ Grimbolt ในระบบเครือข่าย
- ตรวจสอบ log การเข้าถึง RecoverPoint ย้อนหลังเพื่อหาการเข้าถึงที่ผิดปกติ
- เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับ Dell RecoverPoint ทันที
- จำกัดการเข้าถึง management interface ของ RecoverPoint ให้อยู่ในเครือข่ายภายในเท่านั้น
- พิจารณาใช้ EDR/XDR เพื่อตรวจจับ Brickstorm/Grimbolt และ lateral movement
- ปิดการเข้าถึง management interface ของ RecoverPoint จากอินเทอร์เน็ต
Indicators of Compromise (IoCs)
หมายเหตุ: indicator ทั้งหมด defang แล้ว (
[.]) เพื่อความปลอดภัย ก่อนนำไปใช้ต้องแปลงกลับเป็นรูปแบบปกติ
SHA256 Hash (ไฟล์มัลแวร์)
| Hash | ตระกูล / ชื่อไฟล์ |
|---|---|
24a11a26a2586f4fba7bfe89df2e21a0809ad85069e442da98c37c4add369a0c | GRIMBOLT (support) |
dfb37247d12351ef9708cb6631ce2d7017897503657c6b882a711c0da8a9a591 | GRIMBOLT (out_elf_2) |
92fb4ad6dee9362d0596fda7bbcfe1ba353f812ea801d1870e37bfc6376e624a | SLAYSTYLE web shell (default_jsp.java) |
aa688682d44f0c6b0ed7f30b981a609100107f2d414a3a6e5808671b112d1878 | BRICKSTORM |
2388ed7aee0b6b392778e8f9e98871c06499f476c9e7eae6ca0916f827fe65df | BRICKSTORM (splisten) |
320a0b5d4900697e125cebb5ff03dee7368f8f087db1c1570b0b62f5a986d759 | BRICKSTORM |
90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035 | BRICKSTORM |
45313a6745803a7f57ff35f5397fdf117eaec008a76417e6e2ac8a6280f7d830 | BRICKSTORM |
Network Indicator (C2)
| Indicator | ชนิด |
|---|---|
wss://149.248.11[.]71/rest/apisession | C2 endpoint ของ GRIMBOLT |
149.248.11[.]71 | C2 IP ของ GRIMBOLT |
Host-based Indicator (ร่องรอยบนอุปกรณ์ Dell RecoverPoint)
| Indicator | คำอธิบาย |
|---|---|
/home/kos/tomcat9/tomcat-users.xml | ไฟล์เก็บ hardcoded credential ของผู้ใช้ admin |
/manager/text/deploy | endpoint Tomcat Manager ที่ใช้ deploy WAR อันตราย |
/home/kos/kbox/src/installation/distribution/convert_hosts.sh | สคริปต์ที่ถูกแก้ให้เรียก backdoor ตอนบูต |
/home/kos/auditlog/fapi_cl_audit_log.log | log ที่ควรตรวจหา request ไปยัง /manager |
