研究者によると、侵害された環境でハッカーがリモート監視などのツールを使用しているという。
セキュリティ研究者は、SolarWinds Web Help Deskの重大な欠陥に関連して、複数の企業顧客が侵害されたと警告している。
Huntress Labsは、3社の顧客が悪用を受けており、ハッカーが侵害されたホストに対してリモート支援ツールを展開していると述べた。これは、日曜日に公開されたブログ投稿による。
この脆弱性はCVE-2025-40551として追跡されており、信頼できないデータのデシリアライズに関係し、攻撃者がリモートコード実行を達成できる。先週火曜日、サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、SolarWindsがこの脆弱性を修正してからわずか数日後に、この欠陥を既知の悪用済み脆弱性(Known Exploited Vulnerabilities)カタログに追加した。
SolarWindsは1月28日にアドバイザリを発行し、この欠陥について警告するとともに、修正版へのアップグレードをユーザーに促した。この欠陥は以前、Horizon3.aiの研究者によって発見されていた。
Shadowserverは月曜日、Web Help Deskの露出したインスタンスが約150件あると報告した。これは、先週報告した170件からわずかに減少している。
Huntressが調査したある事例では、ハッカーが永続化のためにZoho MeetingsとCloudflareを展開し、さらにVelociraptorというツールを使用してコマンド&コントロール機能を獲得していた。
研究者によると、ハッカーはファイルホスティングサービスのCatboxを使って、Zoho ManageAgent RMMというリモート管理ツールを配置し、その後、手動操作(hands-on-keyboard)に切り替えたという。
Huntressの研究者は、Storm-2603として追跡されている脅威グループが攻撃の背後にいるとみている。
「通常、この種のインシデントはWarlockランサムウェアにつながっていたはずだが、今回のケースでは、攻撃者はまだ偵察モードにあったようだ。主な目的は、できるだけ多くの被害者からシステム情報を収集することだったように見える」と、敵対者戦術担当シニアディレクターのJamie Levy氏はCybersecurity Diveに語った。
別の事例では、Microsoftの研究者が、侵害されたシステム上でハッカーがZoho ManageEngineというリモート監視・管理ツールを展開したと述べた。これは、金曜日に公開されたブログ投稿による。
これらの研究者は、この活動をCVE-2025-40551およびCVE-2025-40536として追跡されているセキュリティ制御のバイパス欠陥、またはCVE-2025-26399として追跡されている以前の欠陥に結び付けることはできなかった。
翻訳元: https://www.cybersecuritydive.com/news/threat-actors-target-solarwinds-web-help-desk-flaw/811702/
