แฮกเกอร์จีนใช้ช่องโหว่ Zero-Day ของ Dell โจมตีองค์กรนานกว่า 1 ปี แบบไม่มีใครรู้ตัว

กลุ่มแฮกเกอร์ที่เชื่อว่ามีความเชื่อมโยงกับรัฐบาลจีน ถูกพบว่าได้แอบใช้ประโยชน์จากช่องโหว่ความปลอดภัยร้ายแรงของ Dell ในการโจมตีแบบ Zero-day อย่างเงียบ ๆ มาตั้งแต่ช่วงกลางปี 2024 โดยไม่มีการเปิดเผยต่อสาธารณะมาก่อน

นักวิจัยด้านความปลอดภัยจาก Mandiant และ Google Threat Intelligence Group (GTIG) เปิดเผยว่า กลุ่มแฮกเกอร์ที่ติดตามในชื่อ UNC6201 ได้ใช้ช่องโหว่ประเภท hardcoded credential ซึ่งมีระดับความรุนแรงสูงสุด (CVE-2026-22769) ในระบบ Dell RecoverPoint for Virtual Machines ซอฟต์แวร์ที่องค์กรใช้สำหรับสำรองข้อมูลและกู้คืนเครื่องเสมือนบนแพลตฟอร์ม VMware

Dell ระบุในประกาศด้านความปลอดภัยว่า เวอร์ชันก่อนหน้า 6.0.3.1 HF1 มีปัญหาการฝังข้อมูลรับรองไว้ภายในระบบแบบตายตัว ส่งผลให้ผู้โจมตีจากระยะไกลที่ยังไม่ต้องผ่านการยืนยันตัวตน หากทราบ credential ดังกล่าว ก็สามารถใช้ช่องโหว่นี้เข้าควบคุมระบบปฏิบัติการพื้นฐานได้โดยไม่ได้รับอนุญาต และสามารถรักษาสิทธิ์ระดับ root ภายในระบบไว้ได้อย่างต่อเนื่อง บริษัทจึงแนะนำให้ลูกค้าอัปเกรดหรือดำเนินการแก้ไขทันที

หลังจากเจาะเข้าสู่เครือข่ายของเหยื่อได้สำเร็จ กลุ่ม UNC6201 ได้ติดตั้งมัลแวร์หลายรูปแบบ รวมถึงแบ็กดอร์ตัวใหม่ชื่อ Grimbolt ซึ่งพัฒนาด้วยภาษา C# และใช้เทคนิคการคอมไพล์รุ่นใหม่ ทำให้ทำงานได้รวดเร็วขึ้นและยากต่อการวิเคราะห์มากกว่ามัลแวร์รุ่นก่อนหน้าที่ชื่อ Brickstorm

นักวิจัยพบว่ากลุ่มผู้โจมตีเริ่มเปลี่ยนจากการใช้ Brickstorm มาเป็น Grimbolt ในช่วงเดือนกันยายน 2025 อย่างไรก็ตาม ยังไม่สามารถยืนยันได้ว่าการเปลี่ยนแปลงดังกล่าวเป็นการอัปเกรดตามแผน หรือเป็นการตอบสนองต่อความพยายามตรวจสอบและรับมือเหตุการณ์จาก Mandiant และพันธมิตรในอุตสาหกรรมความปลอดภัยไซเบอร์

การโจมตีครั้งนี้ยังมุ่งเป้าไปที่โครงสร้างพื้นฐานแบบ Virtualization โดยเฉพาะเซิร์ฟเวอร์ VMware ESXi ผู้โจมตีใช้เทคนิคใหม่ในการเคลื่อนที่ภายในเครือข่ายของเหยื่อ ด้วยการสร้างอินเทอร์เฟซเครือข่ายเสมือนแบบซ่อน หรือที่เรียกว่า “Ghost NICs” เพื่อใช้เป็นช่องทางเคลื่อนย้ายระหว่างเครื่อง VM ที่ถูกเจาะเข้าสู่ระบบภายในองค์กรหรือสภาพแวดล้อม SaaS โดยไม่ถูกตรวจจับ

Mark Karayan ผู้จัดการฝ่ายสื่อสารของ Mandiant ระบุว่า เทคนิค Ghost NICs ถือเป็นวิธีการใหม่ที่ทีมวิจัยไม่เคยพบมาก่อนในการสืบสวนที่ผ่านมา และยังสอดคล้องกับรูปแบบการโจมตีในแคมเปญ BRICKSTORM ก่อนหน้า ซึ่งมุ่งเป้าไปยังอุปกรณ์หรือระบบที่มักไม่มีซอฟต์แวร์ตรวจจับภัยคุกคามปลายทาง (EDR) ทำให้ผู้โจมตีสามารถซ่อนตัวอยู่ในระบบได้เป็นเวลานานโดยไม่ถูกค้นพบ

นอกจากนี้ นักวิจัยยังพบความเชื่อมโยงบางส่วนระหว่างกลุ่ม UNC6201 กับอีกกลุ่มภัยคุกคามจากจีนชื่อ UNC5221 ซึ่งเคยใช้ช่องโหว่ Zero-day ของ Ivanti โจมตีหน่วยงานภาครัฐด้วยมัลแวร์เฉพาะทางอย่าง Spawnant และ Zipline และเคยถูกเชื่อมโยงกับกลุ่มภัยคุกคามที่รัฐจีนสนับสนุนชื่อ Silk Typhoon แม้ว่า GTIG จะระบุว่าทั้งสองกลุ่มไม่ใช่กลุ่มเดียวกันโดยตรง

ก่อนหน้านี้ GTIG ยังพบว่าแฮกเกอร์ UNC5221 ใช้มัลแวร์ Brickstorm เพื่อรักษาการเข้าถึงเครือข่ายของหลายองค์กรในสหรัฐฯ ระยะยาว โดยเฉพาะในภาคกฎหมายและเทคโนโลยี ขณะที่ CrowdStrike เชื่อมโยงการโจมตี Brickstorm ที่มุ่งเป้าไปยังเซิร์ฟเวอร์ VMware vCenter ของบริษัทด้านกฎหมาย เทคโนโลยี และการผลิตในสหรัฐฯ เข้ากับกลุ่มแฮกเกอร์จีนที่ติดตามในชื่อ Warp Panda

เพื่อป้องกันการโจมตีที่ยังคงเกิดขึ้นจากช่องโหว่ CVE-2026-22769 ทาง Dell แนะนำให้ลูกค้าปฏิบัติตามแนวทางการแก้ไขและอัปเดตระบบตามประกาศด้านความปลอดภัยโดยเร็วที่สุด

ที่มา