Злоумышленники используют уязвимости SolarWinds Web Help Desk (WHD) для получения прав на выполнение кода на уязвимых системах и развертывания легитимных инструментов, включая средства криминалистики Velociraptor, для обеспечения персистентности и удаленного управления. — bleepingcomputer.com
Злоумышленники используют уязвимости SolarWinds Web Help Desk (WHD) для развертывания легитимных инструментов в злонамеренных целях, таких как инструмент удаленного мониторинга и управления Zoho ManageEngine.
Атакующий нацелился как минимум на три организации, а также использовал Cloudflare tunnels для обеспечения персистентности и инструмент реагирования на киберинциденты Velociraptor для управления и контроля (C2).
Вредоносная активность была замечена на выходных исследователями Huntress Security, которые полагают, что это часть кампании, начавшейся 16 января и использующей недавно раскрытые уязвимости SolarWinds WHD.
«7 февраля 2026 года аналитик Huntress SOC Дипо Роддипе расследовал случай эксплуатации SolarWinds Web Help Desk, в ходе которого злоумышленник быстро развернул Zoho Meetings и Cloudflare tunnels для обеспечения персистентности, а также Velociraptor для средств управления и контроля», — сообщают в Huntress.
По данным компании в области кибербезопасности, злоумышленник использовал уязвимость CVE-2025-40551, которую CISA отметила на прошлой неделе как используемую в атаках, и CVE-2025-26399.
Обе проблемы безопасности получили критическую оценку серьезности и могут быть использованы для выполнения удаленного кода на хост-машине без аутентификации.
Стоит отметить, что исследователи безопасности Microsoft также «наблюдали многоэтапное вторжение, в ходе которого злоумышленники использовали экземпляры SolarWinds Web Help Desk (WHD), доступные в интернете», но не подтвердили эксплуатацию двух уязвимостей.
Цепочка атак и развертывание инструментов
Получив первоначальный доступ, злоумышленник установил агент Zoho ManageEngine Assist через MSI-файл, загруженный с платформы хостинга файлов Catbox. Инструмент был настроен для доступа без участия пользователя и зарегистрирован на учетную запись Zoho Assist, привязанную к анонимному почтовому адресу Proton Mail.
Инструмент используется для прямой активности «с клавиатурой» и разведки Active Directory (AD). Он также использовался для развертывания Velociraptor, загруженного в виде MSI-файла из хранилища Supabase.
Velociraptor — это легитимный инструмент для цифровой криминалистики и реагирования на инциденты (DFIR), который, как предупреждал недавно Cisco Talos, злоумышленники использовали в атаках с использованием программ-вымогателей.
В атаках, наблюдавшихся Huntress, платформа DFIR используется в качестве фреймворка командно-контрольной инфраструктуры (C2), которая обменивается данными со злоумышленниками через Cloudflare Workers.
Исследователи отмечают, что злоумышленник использовал устаревшую версию Velociraptor (0.73.4), которая уязвима для ошибки повышения привилегий, позволяющей увеличить разрешения на хосте.
Злоумышленник также установил Cloudflared из официального репозитория Cloudflare на GitHub, используя его в качестве вторичного канала доступа на основе туннелей для резервирования C2.
В некоторых случаях персистентность также достигалась с помощью запланированной задачи (TPMProfiler), которая открывала SSH-бэкдор через QEMU.
Злоумышленники также отключили Windows Defender и Firewall путем модификации реестра, чтобы гарантировать, что загрузка дополнительных полезных нагрузок не будет заблокирована.
«Примерно через секунду после отключения Defender злоумышленник загрузил свежую копию исполняемого файла VS Code», — сообщают исследователи.
Обновления безопасности и меры по снижению рисков
Системным администраторам рекомендуется обновить SolarWinds Web Help Desk до версии 2026.1 или выше, удалить публичный доступ из интернета к интерфейсам администратора SolarWinds WHD и сбросить все учетные данные, связанные с продуктом.
Huntress также предоставила правила Sigma и индикаторы компрометации, чтобы помочь обнаружить активность Zoho Assist, Velociraptor, Cloudflared и VS Code tunnel, тихие MSI-установки и закодированное выполнение PowerShell.
Ни Microsoft, ни Huntress не приписали наблюдаемые атаки каким-либо конкретным группам угроз, и ничего о целях не было раскрыто, кроме того, что Microsoft охарактеризовала взломанные среды как «высокоценные активы».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas