Backdoor in Dell-Systemen wird seit 2024 aus China ausgenutzt
In den Systemen des US-Herstellers Dell wurde eine Zero-Day-Sicherheitslücke gefunden. Diese wird bereits seit Mitte 2024 von einer mutmaßlich staatlich unterstützten Hackergruppe aus China ausgenutzt.
2026-22769. Dabei handelt es sich um ein Problem mit fest einprogrammierten Zugangsdaten in einer Backup- und Wiederherstellungslösung für virtuelle Maschinen auf Basis von VMware-Technologie. Das geht aus aktuellen Untersuchungen von Sicherheitsexperten des Unternehmens Mandiant sowie der Google Threat Intelligence Group hervor.
Nach Angaben Dells betrifft die Lücke Versionen vor 6.0.3.1 HF1. Besonders brisant: Ein nicht authentifizierter Angreifer kann mit Kenntnis der hinterlegten Zugangsdaten aus der Ferne Zugriff auf das zugrunde liegende Betriebssystem erlangen und sich dort mit Root-Rechten dauerhaft festsetzen.
Die Angreifer werden der Gruppe UNC6201 zugerechnet. Nach dem Eindringen in die Netzwerke ihrer Opfer installierten sie mehrere Schadprogramme. Darunter befindet sich eine neu entdeckte Backdoor namens Grimbolt, die in C# geschrieben wurde und eine moderne Kompilierungstechnik nutzt. Laut den Forschern arbeitet die Malware schneller und ist schwerer zu analysieren als ihr Vorgänger Brickstorm. Im September 2025 beobachteten die Experten, dass Brickstorm durch Grimbolt ersetzt wurde. Ob als strategisches Upgrade oder als Reaktion auf laufende Gegenmaßnahmen, ist bislang unklar.
Die Ermittler stellten außerdem Überschneidungen mit der chinesischen Gruppe UNC5221 fest, die zuvor Zero-Day-Schwachstellen beim Softwareanbieter Ivanti ausgenutzt haben soll. UNC5221 wird mit der bekannten, staatlich unterstützten Gruppierung Silk Typhoon in Verbindung gebracht. Auch das Sicherheitsunternehmen CrowdStrike führt ähnliche Angriffe unter der Bezeichnung Warp Panda. Dell rät betroffenen Kunden dringend, die bereitgestellten Sicherheitsupdates und Gegenmaßnahmen umgehend umzusetzen, um weitere Kompromittierungen zu verhindern.
Siehe auch:
Fest einprogrammierte Log-ins
Im Fokus der Angriffe stand eine Schwachstelle mit der Kennung CVE-Nach Angaben Dells betrifft die Lücke Versionen vor 6.0.3.1 HF1. Besonders brisant: Ein nicht authentifizierter Angreifer kann mit Kenntnis der hinterlegten Zugangsdaten aus der Ferne Zugriff auf das zugrunde liegende Betriebssystem erlangen und sich dort mit Root-Rechten dauerhaft festsetzen.
Die Angreifer werden der Gruppe UNC6201 zugerechnet. Nach dem Eindringen in die Netzwerke ihrer Opfer installierten sie mehrere Schadprogramme. Darunter befindet sich eine neu entdeckte Backdoor namens Grimbolt, die in C# geschrieben wurde und eine moderne Kompilierungstechnik nutzt. Laut den Forschern arbeitet die Malware schneller und ist schwerer zu analysieren als ihr Vorgänger Brickstorm. Im September 2025 beobachteten die Experten, dass Brickstorm durch Grimbolt ersetzt wurde. Ob als strategisches Upgrade oder als Reaktion auf laufende Gegenmaßnahmen, ist bislang unklar.
Updates zwingend nötig
Weiterhin setzten die Angreifer auf neuartige Methoden, um sich innerhalb virtualisierter Infrastrukturen weiterzubewegen. Auf Servern mit VMware ESXi wurden versteckte virtuelle Netzwerkschnittstellen, sogenannte "Ghost NICs", eingerichtet. Diese ermöglichten es, unauffällig zwischen kompromittierten virtuellen Maschinen und internen oder cloudbasierten Umgebungen zu wechseln. Auffällig ist zudem, dass gezielt Systeme attackiert wurden, auf denen üblicherweise keine klassischen Endpoint-Detection-and-Response-Lösungen installiert sind.Die Ermittler stellten außerdem Überschneidungen mit der chinesischen Gruppe UNC5221 fest, die zuvor Zero-Day-Schwachstellen beim Softwareanbieter Ivanti ausgenutzt haben soll. UNC5221 wird mit der bekannten, staatlich unterstützten Gruppierung Silk Typhoon in Verbindung gebracht. Auch das Sicherheitsunternehmen CrowdStrike führt ähnliche Angriffe unter der Bezeichnung Warp Panda. Dell rät betroffenen Kunden dringend, die bereitgestellten Sicherheitsupdates und Gegenmaßnahmen umgehend umzusetzen, um weitere Kompromittierungen zu verhindern.
Zusammenfassung
- Dell-Systeme durch Zero-Day-Lücke seit Mitte 2024 von China angegriffen
- Schwachstelle CVE-2026-22769 betrifft fest einprogrammierte Zugangsdaten
- Angreifer können aus der Ferne Root-Zugriff auf das Betriebssystem erlangen
- Hackergruppe UNC6201 setzte neue C#-Backdoor namens Grimbolt ein
- Versteckte virtuelle Netzwerkschnittstellen ermöglichten unauffälliges Bewegen
- Verbindungen zu chinesischer Gruppe Silk Typhoon wurden festgestellt
- Dell empfiehlt dringende Installation der bereitgestellten Sicherheitsupdates
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon