একটি সন্দেহভাজন চীনা রাষ্ট্র-সমর্থিত হ্যাকিং গোষ্ঠী 2024 সালের মাঝামাঝি সময়ে শুরু হওয়া শূন্য-দিনের আক্রমণের ব্যবধানে একটি গুরুতর ডেল নিরাপত্তা ত্রুটিকে নিঃশব্দে কাজে লাগাচ্ছে।
Mandiant এবং Google Threat Intelligence Group (GTIG) এর নিরাপত্তা গবেষকরা আজ প্রকাশ করেছেন যে UNC6201 গ্রুপ ভার্চুয়াল মেশিনের জন্য ডেল রিকভারপয়েন্টে সর্বাধিক-তীব্রতার হার্ডকোড-প্রমাণপত্রের দুর্বলতা (CVE-2026-22769 হিসাবে ট্র্যাক করা হয়েছে) কাজে লাগিয়েছে, একটি ভার্চুয়াল মেশিন এবং ভার্চুয়াল ব্যাকআপ মেশিনের জন্য ব্যবহৃত সমাধান।
“ভার্চুয়াল মেশিনের জন্য ডেল রিকভারপয়েন্ট, 6.0.3.1 HF1-এর আগের সংস্করণগুলিতে একটি হার্ডকোডেড শংসাপত্র দুর্বলতা রয়েছে,” ডেল মঙ্গলবার প্রকাশিত একটি নিরাপত্তা পরামর্শে ব্যাখ্যা করেছে৷
“এটি সমালোচনামূলক বলে বিবেচিত হয় কারণ হার্ডকোডেড শংসাপত্রের জ্ঞান সহ একটি অননুমোদিত দূরবর্তী আক্রমণকারী অন্তর্নিহিত অপারেটিং সিস্টেমে অননুমোদিত অ্যাক্সেস এবং রুট-লেভেল স্থিরতার জন্য এই দুর্বলতাকে সম্ভাব্যভাবে কাজে লাগাতে পারে৷ ডেল সুপারিশ করে যে গ্রাহকরা যত তাড়াতাড়ি সম্ভব আপগ্রেড করুন বা কার্যকর করুন।”
একবার শিকারের নেটওয়ার্কের ভিতরে, UNC6201 একাধিক ম্যালওয়্যার পেলোড স্থাপন করেছিল, যার মধ্যে গ্রিমবল্ট নামে একটি নতুন চিহ্নিত ব্যাকডোর ম্যালওয়্যার রয়েছে৷ C# তে লেখা এবং তুলনামূলকভাবে নতুন সংকলন প্রযুক্তি ব্যবহার করে নির্মিত, এই ম্যালওয়্যারটিকে তার পূর্বসূরীর তুলনায় দ্রুততর এবং বিশ্লেষণ করা কঠিন, ব্রিকস্টর্ম নামক একটি ব্যাকডোর ডিজাইন করা হয়েছে।
গবেষকরা যখন 2025 সালের সেপ্টেম্বরে গ্রিমবল্টের জন্য ব্রিকস্টর্মের গ্রুপটি স্যুইচ আউট করে দেখেছেন, তখন এটি স্পষ্ট নয় যে সুইচটি একটি পরিকল্পিত আপগ্রেড নাকি “ম্যান্ডিয়ান্ট এবং অন্যান্য শিল্প অংশীদারদের নেতৃত্বে ঘটনার প্রতিক্রিয়া প্রচেষ্টার প্রতিক্রিয়া।”
VMware ESXi সার্ভার টার্গেটিং
আক্রমণকারীরা ভিকটিমদের ভার্চুয়ালাইজড অবকাঠামোর গভীরে প্রবেশ করার জন্য নতুন কৌশলও ব্যবহার করেছে, যার মধ্যে ভিএমওয়্যার ESXi সার্ভারে লুকানো নেটওয়ার্ক ইন্টারফেস (তথাকথিত ভূত NICs) তৈরি করা হয়েছে যাতে তারা গোপনে ভিকটিমদের নেটওয়ার্ক জুড়ে চলে যায়।
“UNC6201 অভ্যন্তরীণ বা SaaS পরিবেশ থেকে আপস করা VMগুলি স্থানান্তর করতে অস্থায়ী ভার্চুয়াল নেটওয়ার্ক পোর্ট (একেএ “ভূত NICs”) ব্যবহার করে, একটি নতুন কৌশল যা ম্যান্ডিয়েন্ট তার তদন্তে আগে দেখেনি,” ম্যান্ডিয়েন্ট যোগাযোগ ব্যবস্থাপক মার্ক ক্যারায়ন ব্লিপিং কম্পিউটারকে বলেছেন৷
“আগের ব্রিকস্টর্ম প্রচারণার সাথে সামঞ্জস্যপূর্ণ, UNC6201 এমন ডিভাইসগুলিকে লক্ষ্য করে চলেছে যেগুলিতে সাধারণত ঐতিহ্যগত এন্ডপয়েন্ট ডিটেকশন এবং রেসপন্স (EDR) এজেন্টের অভাব থাকে যা দীর্ঘ সময়ের জন্য সনাক্ত করা যায় না।”
গবেষকরা UNC6201 এবং একটি ভিন্ন চীনা হুমকি গোষ্ঠী, UNC5221-এর মধ্যে ওভারল্যাপ খুঁজে পেয়েছেন, যেটি কাস্টম স্পনার এবং জিপলাইন ম্যালওয়্যার দিয়ে সরকারী সংস্থাগুলিকে টার্গেট করার জন্য ইভান্তি জিরো-ডে কাজে লাগানোর জন্য পরিচিত এবং পূর্বে কুখ্যাত সিল্ক টাইফুন চীনা রাষ্ট্র-সমর্থিত হুমকি গোষ্ঠীর সাথে যুক্ত ছিল (যদিও GTIG দ্বারা দুটিকে একই হিসাবে বিবেচনা করা হয় না)।
GTIG সেপ্টেম্বরে বলেছিল যে UNC5221 হ্যাকাররা আইনী ও প্রযুক্তি খাতে বেশ কয়েকটি মার্কিন সংস্থার নেটওয়ার্কগুলিতে দীর্ঘমেয়াদী স্থায়িত্ব অর্জনের জন্য BrickStorm (প্রথম এপ্রিল 2024 সালে নথিভুক্ত করেছে) ব্যবহার করেছে, যখন CrowdStrike ব্রিকস্টর্ম ম্যালওয়্যার আক্রমণের সাথে যুক্ত করেছে যা ইউনাইটেড প্রযুক্তির ভিএমওয়্যার এবং আইনী সার্ভিং কোম্পানিগুলির লক্ষ্যবস্তু করে। একটি চাইনিজ হ্যাকিং গোষ্ঠীর কাছে রাজ্য, যাকে তিনি ওয়ার্প পান্ডা হিসাবে ট্র্যাক করেন।
চলমান CVE-2026-22769 আক্রমণ প্রতিরোধ করতে, Dell গ্রাহকদের এই নিরাপত্তা পরামর্শে শেয়ার করা প্রতিকার নির্দেশিকা অনুসরণ করার পরামর্শ দেওয়া হচ্ছে।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
