TokyoBlackHatNews

bleepingcomputer.com 4分で読了

脅威アクターがSolarWinds WDHの脆弱性を悪用し、Velociraptorを展開

Image

ハッカーはSolarWinds Web Help Desk(WHD)の脆弱性を悪用し、Zoho ManageEngineのリモート監視・管理ツールなどの正規ツールを悪意ある目的で展開しています。

攻撃者は少なくとも3つの組織を標的にし、永続化のためにCloudflareトンネルも悪用し、さらにコマンド&コントロール(C2)のためにVelociraptorサイバーインシデント対応ツールを利用しました。

この悪意ある活動は週末にHuntress Securityの研究者によって発見され、同社は、1月16日に開始され、最近公開されたSolarWinds WHDの欠陥を悪用したキャンペーンの一部だと考えています。

「2026年2月7日、Huntress SOCアナリストのDipo RodipeはSolarWinds Web Help Deskの悪用事案を調査しました。この事案では、脅威アクターが永続化のためにZoho MeetingsとCloudflareトンネルを迅速に展開し、さらにコマンド&コントロールの手段としてVelociraptorも展開しました」と、Huntressは述べています

このサイバーセキュリティ企業によると、脅威アクターは、先週CISAが攻撃で使用されていると警告したCVE-2025-40551の脆弱性と、CVE-2025-26399を悪用しました。

両方のセキュリティ問題は重大(Critical)の深刻度評価を受けており、認証なしでホストマシン上でリモートコード実行を達成するために利用できます。

なお、Microsoftのセキュリティ研究者も、「インターネットに公開されたSolarWinds Web Help Desk(WHD)インスタンスを脅威アクターが悪用する多段階の侵入」を観測したとしていますが、2つの脆弱性の悪用については確認していません。

攻撃チェーンとツールの展開

初期アクセスを得た後、攻撃者はCatboxのファイルホスティングプラットフォームから取得したMSIファイルを介してZoho ManageEngine Assistエージェントをインストールしました。無人アクセス用にツールを設定し、侵害されたホストを、匿名のProton Mailアドレスに紐づくZoho Assistアカウントに登録しました。

このツールは、直接のキーボード操作(ハンズオン)とActive Directory(AD)の偵察に使用されます。また、SupabaseのバケットからMSIファイルとして取得したVelociraptorの展開にも使用されました。

Velociraptorは正規のデジタル・フォレンジックおよびインシデント対応(DFIR)ツールであり、Cisco Talosが最近、ランサムウェア攻撃で悪用されていると警告していました。

Huntressが観測した攻撃では、このDFIRプラットフォームは、Cloudflare Workersを介して攻撃者と通信するコマンド&コントロール(C2)フレームワークとして使用されています。

研究者らは、攻撃者がVelociraptorの古いバージョンである0.73.4を使用していたと指摘しています。このバージョンは、ホスト上で権限を引き上げられる権限昇格の欠陥に対して脆弱です。

脅威アクターはまた、Cloudflareの公式GitHubリポジトリからCloudflaredをインストールし、C2の冗長性のための二次的なトンネルベースのアクセスチャネルとして使用しました。

一部のケースでは、QEMU経由でSSHバックドアを開くスケジュールタスク(TPMProfiler)によって永続化も実現されました。

攻撃者はさらに、追加のペイロード取得がブロックされないように、レジストリの変更によってWindows Defenderとファイアウォールを無効化しました。

「Defenderを無効化してから約1秒後、脅威アクターはVS Codeバイナリの新しいコピーをダウンロードしました」と研究者らは述べています。

Image
攻撃チェーン
出典: Huntress

セキュリティ更新と緩和策

システム管理者には、SolarWinds Web Help Deskをバージョン2026.1以降にアップグレードし、SolarWinds WHDの管理インターフェースへの公開インターネットアクセスを削除し、製品に関連するすべての認証情報をリセットすることが推奨されます。

Huntressはまた、Zoho Assist、Velociraptor、Cloudflared、VS Codeのトンネル活動、サイレントなMSIインストール、エンコードされたPowerShell実行を検知するのに役立つSigmaルールと侵害指標(IoC)を共有しました。

MicrosoftもHuntressも、観測された攻撃を特定の脅威グループに帰属させておらず、標的についても、Microsoftが侵害された環境を「高価値資産」と特徴づけた以上の情報は開示されていません。

翻訳元: https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/

ソース: bleepingcomputer.com
#Cloudflare Tunnel(cloudflared) #CVE-2025-26399 #CVE-2025-40551 #SolarWinds #Velociraptor #Web Help Desk(WHD) #Zoho ManageEngine Assist #リモートコード実行(RCE) #侵害指標(IoC)と緩和策 #脆弱性悪用

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用