脅威アクターは、SolarWinds Web Help Desk(WHD)に存在する重大な脆弱性を積極的に悪用し、カスタムマルウェアを展開して永続的なリモート制御を確立しています。
セキュリティ研究者は、2026年2月7日からこれらの攻撃を確認しており、最新のセキュリティパッチをまだ適用していない組織が標的となっています。
SolarWinds Web Help Desk RCE
侵入は、最近公開されたリモートコード実行(RCE)の脆弱性、具体的にはCVE-2025-40551およびCVE-2025-26399を悪用します。
Huntressの研究者は、攻撃がWHDのサービスラッパー(wrapper.exe)がJavaプロセスを生成し、悪意のあるコマンドを実行するところから始まることを確認しました。
このプロセスは、ファイル共有サービスCatboxにホストされたWindows Installer(MSI)ペイロードを介して、Zoho ManageEngine RMMエージェントをサイレントにインストールします。
インストール後、Zohoエージェントはバックドアとして機能し、無人アクセス用に設定され、攻撃者が管理するProton Mailアカウントに紐付けられます。
この正規のリモート管理ツールにより、攻撃者は直ちに警戒を招くことなく、侵害された環境へのハンズオンアクセスを維持できます。
さらに詳しく
ペネトレーションテスト
情報セキュリティコンサルティング
脅威インテリジェンスプラットフォーム
脆弱性評価ツール
セキュリティ情報・イベント管理
コンピュータセキュリティ
サイバーセキュリティウェビナー
悪用
オンライン安全講座
ネットワークセキュリティソリューション
このキャンペーンの特徴は、正規ソフトウェアを悪意ある目的で悪用している点です。
足場を確立した後、攻撃者は通常は防御側が使用するオープンソースのデジタル・フォレンジックツールであるVelociraptorを展開します。
この文脈では、古いバージョンのVelociraptorがコマンド&コントロール(C2)フレームワークとして武器化され、悪意のあるCloudflare Workerドメインと通信して、被害者のマシン上でPowerShellコマンドを実行します。
被害者を管理するため、攻撃者はOSバージョンやドメイン参加状況などのシステム情報を収集するカスタムPowerShellスクリプトを利用します。
皮肉なことに、これらのデータは整形され、攻撃者が管理するElastic Cloudインスタンスへ直接持ち出されます。
脅威アクターは、侵害した標的のトリアージのために、実質的に正規のSIEM(Security Information and Event Management)プラットフォームを使用しています。
高度な永続化と回避
このキャンペーンは、防御側の対抗策を受けても攻撃が生き残るよう、洗練された手口を示しています:
- 防御回避: 攻撃者はレジストリを変更してWindows Defenderを強制的に無効化し、リアルタイム監視とスパイウェア対策保護をオフにします。
- C2フェイルオーバー: マルウェアには独自の冗長化スクリプトが含まれています。特定のダイナミックDNSドメインを定期的にプローブし、サーバーが特定のHTTP 406エラーコードを返した場合、スクリプトはVelociraptorの設定ファイルを自動的に書き換えて、C2サーバーを切り替えます。これにより、主要ドメインがブロックされた場合でも、攻撃者はインフラを即座にローテーションできます。
SolarWinds Web Help Deskを使用している組織は、C:\Program Files\WebHelpDesk\version.txt にてインストール済みバージョンを直ちに確認してください。
12.8.7 HF1より前のすべてのバージョンが脆弱です。管理者は、この重大なセキュリティギャップを解消するため、SolarWindsの公式アップデートを直ちに適用する必要があります。
侵害の痕跡(IOCs)
| 項目 | 説明 |
| https://files.catbox[.]moe/tmp9fc.msi SHA256:897eae49e6c32de3f4bfa229ad4f2d6e56bcf7a39c6c962d02e5c85cd538a189 |
Zoho Meetings インストーラー |
| https://vdfccjpnedujhrzscjtq.supabase[.]co/storage/v1/object/public/image/v4.msi SHA256: 46831be6e577e3120084ee992168cca5af2047d4a08e3fd67ecd90396393b751 |
Velociraptor インストーラー |
| https://auth.qgtxtebl.workers[.]dev/ | Velociraptor サーバーURL |
| https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-windows-amd64.msi | Cloudfared インストーラー |
| https://vdfccjpnedujhrzscjtq.supabase[.]co/storage/v1/object/public/image/code.txt C:\ProgramData\Microsoft\code.exe SHA256:34b2a6c334813adb2cc70f5bd666c4afbdc4a6d8a58cc1c7a902b13bbd2381f4 |
VSCodeのポータブル版 |
| https://62c4cbb992274c32922cfbb49d623bd1.us-central1.gcp.cloud.es[.]io | Elastic Search URL |
| esmahyft@proton[.]me | Zoho Assist アカウントのメールアドレス |
| v2-api.mooo[.]com | Velociraptor フェイルオーバードメイン |
| client.config.yaml
SHA256: bbd6e120bf55309141f75c85cc94455b1337a1a4333f6868b245b2edfa97ef44 |
Velociraptor 設定ファイル |
| Task Path:C:\Windows\System32\Tasks\TPMProfiler Command:C:\Users\[user]\tmp\qemu-system-x86_64.exe -m 1G -smp 1 -hda vault.db -device e1000,netdev=net0 -netdev user,id=net0,hostfwd=tcp::22022-:22 |
スケジュールされたタスク(永続化) |
| Task Path:C:\Windows\System32\Tasks\TPMProfiler Command:C:\Users\[user]\local\qemu-system-x86_64 -m 1G -smp 1 -hda bisrv.dll -device e1000,netdev=net0 -netdev user,id=net0,hostfwd=tcp::32567-:22 |
スケジュールされたタスク(永続化) |
翻訳元: https://gbhackers.com/active-exploitation-of-solarwinds-web-help-desk-rce/
