Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tin tặc Trung Quốc khai thác lỗ hổng bảo mật zero-day của Dell từ giữa năm 2024

20:26 | 20/02/2026
Hồng Đạt

Một nhóm tin tặc đến từ Trung Quốc đã bí mật khai thác một lỗ hổng bảo mật nghiêm trọng của Dell trong các cuộc tấn công zero-day bắt đầu từ giữa năm 2024.

Ngày 17/2, các nhà nghiên cứu bảo mật từ Mandiant và nhóm tình báo mối đe dọa của Google (GTIG) tiết lộ rằng, các tin tặc UNC6201 đã khai thác lỗ hổng liên quan đến thông tin đăng nhập được mã hóa cứng (CVE-2026-22769) trong Dell RecoverPoint for Virtual Machines, một giải pháp được sử dụng để sao lưu và phục hồi máy ảo VMware.

“Dell RecoverPoint for Virtual Machines tồn tại một lỗ hổng liên quan đến thông tin đăng nhập được mã hóa cứng. Vấn đề này rất nghiêm trọng vì kẻ tấn công từ xa nếu biết thông tin đăng nhập được mã hóa cứng, có thể khai thác lỗ hổng này và dẫn đến truy cập trái phép vào hệ điều hành và duy trì quyền quản trị ở cấp độ root. Dell khuyến nghị khách hàng nên nâng cấp hoặc áp dụng một trong các biện pháp khắc phục càng sớm càng tốt”, Dell giải thích.

Sau khi xâm nhập vào hệ thống mạng của nạn nhân, UNC6201 triển khai một số phần mềm độc hại, bao gồm cả backdoor mới có tên Grimbolt. Được biên dịch, phát triển bằng ngôn ngữ C# và xây dựng bằng một kỹ thuật biên dịch tương đối mới, phần mềm độc hại này có khả năng hoạt động nhanh hơn và khó phân tích hơn so với tiền thân của nó - backdoor Brickstorm.

Mặc dù các nhà nghiên cứu quan sát thấy nhóm này thay thế Brickstorm bằng Grimbolt vào tháng 9/2025, nhưng vẫn chưa rõ liệu việc chuyển đổi này là một bản nâng cấp theo kế hoạch hay đây là “một phản ứng trước những nỗ lực ứng phó sự cố do Mandiant và các hãng bảo mật khác đang thực hiện”.

Những kẻ tấn công cũng sử dụng các kỹ thuật mới để xâm nhập sâu hơn vào cơ sở hạ tầng ảo hóa của nạn nhân, bao gồm việc tạo ra các giao diện mạng ẩn (gọi là Ghost NIC) trên máy chủ VMware ESXi để di chuyển bí mật trong mạng của nạn nhân.

“UNC6201 sử dụng các cổng mạng ảo tạm thời (còn gọi là Ghost NIC) nhằm chuyển hướng từ các máy ảo bị xâm nhập sang môi trường nội bộ hoặc SaaS, một kỹ thuật mới mà Mandiant chưa từng thấy trước đây trong các cuộc điều tra của họ”, Mark Karayan, quản lý truyền thông của Mandiant cho biết.

Tương tự như chiến dịch Brickstorm trước đó, UNC6201 tiếp tục nhắm mục tiêu vào các thiết bị mục tiêu thiếu các tác nhân phát hiện và phản hồi điểm cuối (EDR) truyền thống để duy trì trạng thái không bị phát hiện trong thời gian dài.

Các nhà nghiên cứu đã tìm thấy sự trùng lặp giữa UNC6201 và một nhóm tin tặc Trung Quốc riêng biệt là UNC5221, được biết đến với việc khai thác các lỗ hổng bảo mật chưa được vá của Ivanti để nhắm mục tiêu vào các cơ quan chính phủ bằng mã độc Spawnant và Zipline tùy chỉnh, trước đây có liên hệ với nhóm tin tặc khét tiếng Silk Typhoon.

Vào tháng 9/2025, GTIG cho biết các tin tặc UNC5221 sử dụng Brickstorm (lần đầu tiên được Mandiant ghi nhận vào tháng 4/2024) để duy trì quyền truy cập lâu dài vào mạng lưới của nhiều tổ chức tại Mỹ trong lĩnh vực pháp lý và công nghệ, trong khi CrowdStrike liên kết các cuộc tấn công mã độc Brickstorm nhắm vào máy chủ VMware vCenter của các công ty luật, công nghệ và sản xuất tại Mỹ với một nhóm tin tặc Trung Quốc mà họ theo dõi với tên gọi Warp Panda.

Để ngăn chặn các cuộc tấn công CVE-2026-22769 đang diễn ra, khách hàng của Dell được khuyến cáo nên làm theo hướng dẫn khắc phục sự cố được chia sẻ trong bản tư vấn bảo mật này. Quý độc giả có thể theo dõi chi tiết tại đây.

Twitter Facebook YouTube Copy Link QR Code
TRUNG QUỐC LỖ HỔNG NGHIÊM TRỌNG VMWARE VCENTER VMWARE ESXI GRIMBOLT UNC6201 UNC5221 MÁY ẢO DELL TIN TẶC VMWARE SILK TYPHOON BRICKSTORM BACKDOOR CVE-2026-22769 MÃ ĐỘC PHẦN MỀM ĐỘC HẠI TRUY CẬP TRÁI PHÉP TIN TẶC TRUNG QUỐC
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Ấn phẩm ATTT Ấn phẩm Khoa học
    Trang liên kết