كشفت تقارير حديثة عن تعرض منتج Dell RecoverPoint for Virtual Machines، الذي يُستخدم في النسخ الاحتياطي والاستعادة، لثغرة أمنية خطيرة تم استغلالها كـ “ثغرة يوم الصفر” (Zero-Day) منذ منتصف عام 2024. وتُسلط هذه التطورات الضوء على المخاطر المتزايدة التي تواجه المؤسسات من الهجمات السيبرانية المتقدمة.
ووفقًا لتقرير صادر عن شركتي Google Mandiant و Google Threat Intelligence Group (GTIG)، فإن الهجوم استهدف استغلال الثغرة المعروفة بالرمز CVE-2026-22769، والتي تتميز بدرجة خطورة قصوى (CVSS score: 10.0). وتتعلق هذه الثغرة بوجود بيانات اعتماد مدمجة (hard-coded credentials) في إصدارات المنتج التي تسبق 6.0.3.1 HF1، مما يسمح للمهاجمين بالوصول غير المصرح به.
استغلال ثغرة Dell RecoverPoint الحرجة
وتُعد هذه الثغرة خطيرة للغاية، حيث تسمح لمهاجم خارجي غير مصادق عليه، ولديه معرفة ببيانات الاعتماد المدمجة، بالوصول إلى النظام التشغيل الأساسي للجهاز وتحقيق استمرارية على مستوى الجذر (root-level persistence). وذكرت شركة Dell في نشرة أمنية أن هذا النوع من الثغرات يمكن أن يؤدي إلى عواقب وخيمة إذا لم يتم معالجته بشكل عاجل.
تفاصيل الثغرة وتأثيرها
تؤثر الثغرة على عدة إصدارات من منتج Dell RecoverPoint for Virtual Machines. وتوصي Dell بشدة بتحديث الإصدارات المتأثرة إلى 6.0.3.1 HF1 أو إصدارات أحدث. بالإضافة إلى ذلك، تنصح الشركة بضرورة نشر RecoverPoint for Virtual Machines ضمن شبكة داخلية موثوقة وخاضعة للرقابة، محمية بجدران نارية وتقسيمات شبكة مناسبة، وعدم استخدامه على شبكات غير موثوق بها أو عامة.
وبحسب تقرير Google، فإن بيانات الاعتماد المدمجة مرتبطة بحساب “admin” الخاص بنسخة Apache Tomcat Manager. يمكن للمهاجم استغلال ذلك للمصادقة على Dell RecoverPoint Tomcat Manager، ومن ثم تحميل برنامج ويب ضار (web shell)، يُعرف باسم SLAYSTYLE، لتنفيذ أوامر على الجهاز بصلاحيات جذرية. ويُمكن هذا المهاجمين من تثبيت برمجيات خبيثة مثل BRICKSTORM، ونسختها الأحدث GRIMBOLT.
وأوضح تشارلز كارماكال من Mandiant أن BRICKSTORM هو باب خلفي (backdoor) مكتوب بلغة C#، وتم تجميعه باستخدام تقنية “Ahead-Of-Time” (AOT) الأصلية، مما يجعله أكثر صعوبة في التحليل العكسي.
ووفقًا لـ Google، استهدفت الهجمات منظمات في أمريكا الشمالية، حيث طورت GRIMBOLT ميزات إضافية لتجنب الكشف وتقليل الآثار الجنائية على الأجهزة المصابة. وتتميز GRIMBOLT بقدرتها على الاندماج بشكل أفضل مع ملفات النظام الأصلية، مما يجعل اكتشافها أكثر صعوبة.
تُظهر التحليلات وجود تداخل بين مجموعة التهديد UNC6201 ومجموعة أخرى تُعرف باسم UNC5221، وهي أيضًا مرتبطة بالصين وتشتهر باستغلال تقنيات المحاكاة الافتراضية وثغرات يوم الصفر في Ivanti لتوزيع برامج الويب الضارة وعائلات برامج ضارة مثل BEEFLUSH و BRICKSTORM و ZIPLINE.
وعلى الرغم من أوجه التشابه التكتيكية، تُعتبر المجموعتان مختلفتين في هذه المرحلة. ومن الجدير بالذكر أن استخدام BRICKSTORM قد ارتبط أيضًا بخصم ثالث متحالف مع الصين، يُعرف باسم Warp Panda، في هجمات استهدفت كيانات أمريكية.
أحد الجوانب اللافتة للانتباه في الموجة الأخيرة من الهجمات هو اعتماد UNC6201 على واجهات شبكة افتراضية مؤقتة، تُعرف باسم “Ghost NICs”، للانتقال من الأجهزة الافتراضية المخترقة إلى البيئات الداخلية أو خدمات SaaS. ثم يقوم الفاعلون بحذف هذه الواجهات لإزالة آثارهم، مما يعيق جهود التحقيق.
قال Google: “تماشيًا مع حملة BRICKSTORM السابقة، تواصل UNC6201 استهداف الأجهزة التي تفتقر عادةً إلى عوامل اكتشاف الاستجابة (EDR) التقليدية، مما يسمح لها بالبقاء غير مكتشفة لفترات طويلة.”
آليات الهجوم وتطور البرمجيات الخبيثة
لم يتضح بعد كيف يتم الحصول على الوصول الأولي، ولكن مثل UNC5221، تُعرف المجموعة أيضًا باستهداف الأجهزة الطرفية (edge appliances) لاختراق الشبكات المستهدفة. وكشف تحليل لأجهزة VMware vCenter المخترقة عن أوامر iptables تم تنفيذها عبر برنامج الويب الضار للقيام بمجموعة من الإجراءات، بما في ذلك مراقبة حركة المرور الواردة وإضافة عناوين IP معينة إلى قائمة، وتوجيه حركة المرور إلى منافذ محددة.
كما اكتشف أن الفاعل قام باستبدال ملفات BRICKSTORM القديمة بملفات GRIMBOLT في سبتمبر 2025. ورغم أن GRIMBOLT يوفر قدرات مماثلة لأوامر التحكم والأوامر (C2) مثل BRICKSTORM، إلا أن الدافع وراء التحول إلى البرمجيات الخبيثة الأكثر صعوبة في الكشف، وما إذا كان انتقالًا مخططًا له أم استجابة لإفصاحات عامة حول BRICKSTORM، لم يتضح بعد.
وأضاف كارماكال: “تستمر جهات التهديد الحكومية في استهداف الأنظمة التي لا تدعم عادةً حلول EDR، مما يجعل من الصعب للغاية على المؤسسات الضحية معرفة أنها تعرضت للاختراق، ويطيل فترات التسلل بشكل كبير.”
يأتي هذا الإعلان في الوقت الذي حذرت فيه شركة Dragos من هجمات شنتها مجموعات صينية، مثل Volt Typhoon (المعروفة أيضًا باسم Voltzite)، لاختراق بوابات Sierra Wireless Airlink في قطاعي الكهرباء والنفط والغاز، ثم الانتقال إلى محطات العمل الهندسية لسحب بيانات التكوين والإنذار.
وفقًا لشركة الأمن السيبراني، وقعت هذه الأنشطة في يوليو 2025. ويُقال إن عصابة القرصنة تحصل على الوصول الأولي من Sylvanite، التي تقوم بتسليح ثغرات الأجهزة الطرفية بسرعة قبل تطبيق التصحيحات، ثم تسلم الوصول لتنفيذ عمليات متطورة في أنظمة التكنولوجيا التشغيلية (OT).
وذكر تقرير Dragos: “تجاوز Voltzite استخراج البيانات إلى التلاعب المباشر بمحطات العمل الهندسية، مما يشير إلى إزالة الحاجز العملي الأخير بين الوصول والتسبب في عواقب مادية. وتُنشئ البوابات الخلوية مسارات غير مصرح بها إلى شبكات OT، متجاوزةً الضوابط الأمنية التقليدية.”