网络安全和基础设施安全局命令民用机构在 2 月 21 日之前修补 CVE-2026-22769,在本周早些时候将该缺陷添加到其已知利用的漏洞目录中后,他们只给出了一个值得注意的数字。异常紧迫的期限反映出自 2024 年中期开始针对 Dell RecoverPoint for Virtual Machines 的活跃利用。
据 Google 的 Mandiant 事件响应团队称,与 Silk Typhoon 间谍活动有关的中国威胁组织 UNC6201 至少自 2024 年 6 月起就利用硬编码凭证漏洞在网络上获得根级持久性。攻击者部署了多个恶意软件系列,包括 Brickstorm 后门,然后于 2025 年 9 月升级到更复杂的植入程序 Grimbolt。
戴尔披露并修补在收到 Google 和 Mandiant 有关有限主动利用的报告后,我们于 2 月 17 日修复了该漏洞。该公司的安全公告指出,该缺陷存在完美 10/10 CVSS 严重性评分并影响 6.0.3.1 HF1 之前的 RecoverPoint for Virtual Machines 版本。
CISA 在其指令中警告说:“这些类型的漏洞是恶意网络行为者的常见攻击媒介,并对联邦企业构成重大风险。”
该机构已追踪到的确诊受害者不到十几名,但承认由于剥削时间延长,真实数字可能更高。
攻击者使用所谓的“幽灵网卡”在虚拟机上安静地穿过受损环境而不触发警报。他们的目标是灾难恢复平台,这些平台通常以更高的权限运行,并提供对基础设施架构的深入可见性。
Keeper Security 的 Shane Barney 表示:“针对备份和灾难恢复平台体现了一种深思熟虑且知识渊博的方法。” “如果攻击者破坏了负责恢复的系统,他们可能会削弱组织从中断中恢复的能力。”
Mandiant 研究人员观察到 UNC6201 用更难以逆向工程的 Grimbolt 后门替换了旧的 Brickstorm 二进制文件。较新的恶意软件使用大部分相同的架构,但为黑客提供了从攻击中删除取证指纹的更好方法。
CISA、国家安全局和加拿大网络安全中心于 12 月发布了有关 Brickstorm 的公告,警告中国黑客正在利用它来攻击多个国家的政府。该机构上周更新了该公告,指出更新的版本已成为“用途更广泛,更难被发现。”
为期三天的补丁窗口延续了 CISA 的模式针对积极利用的错误的快速修复命令。就在上周,该机构同样给了联邦机构三天的时间来锁定 BeyondTrust Remote Support 实例,以防止单独的远程代码执行缺陷。
戴尔建议客户立即升级受影响的系统或应用其安全公告中概述的解决方法。该公司承认收到有关“有限的主动利用”来自 Google 和 Mandiant,同时敦促使用 RecoverPoint for Virtual Machines 的组织实施建议的缓解措施。
![[100%工作] Vivo手机已被锁定。如何解锁?](https://tips.pfrlju.com/tech/enda/wp-content/uploads/cache/2025/05/unlock-screen-vivo.png)
![如何下载MTK客户端工具:完整评论和FRP旁路[最简单]](https://tips.pfrlju.com/tech/enda/wp-content/uploads/cache/2025/08/mtk-download-for-win.png)
