Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери ги искористуваат слабостите на SolarWinds WHD за распоредување DFIR алатки во напади

Објавено: 10.02.2026

Хакери ги искористуваат ранливостите во SolarWinds Web Help Desk (WHD) за да распоредуваат легитимни алатки со злонамерна цел, како што е алатката за далечински мониторинг и управување Zoho ManageEngine.

Напаѓачот таргетирал најмалку три организации и исто така користел Cloudflare тунели за одржување на постојан пристап, како и алатката за сајбер-инцидентен одговор Velociraptor за команда и контрола (C2).

Злонамерната активност била забележана за време на викендот од страна на истражувачите на Huntress Security, кои сметаат дека станува збор за кампања започната на 16 јануари и која ги искористува неодамна објавените слабости во SolarWinds WHD.
„На 7 февруари 2026 година, SOC аналитичарот на Huntress, Дипо Родипе, истражуваше случај на експлоатација на SolarWinds Web Help Desk, при што заканувачкиот актер брзо распоредил Zoho Meetings и Cloudflare тунели за постојан пристап, како и Velociraptor како средство за команда и контрола“, соопштува Huntress.

Според компанијата за сајбер-безбедност, напаѓачот ја искористил ранливоста CVE-2025-40551, која CISA минатата недела ја означи како активно злоупотребувана во напади, како и CVE-2025-26399. Двете безбедносни слабости имаат критично ниво на сериозност и може да се искористат за извршување на далечински код на таргетираната машина без автентикација.

Вреди да се напомене дека истражувачите за безбедност од Microsoft исто така „забележале повеќефазна упадна активност каде што заканувачките актери искористувале јавно достапни SolarWinds Web Help Desk (WHD) инстанци“, но не потврдиле дека биле искористени двете ранливости.

Синџир на напад и распоредување алатки

По добивањето почетен пристап, напаѓачот го инсталирал Zoho ManageEngine Assist агентот преку MSI фајл преземен од платформата за хостирање Catbox. Алатката била конфигурирана за ненадгледуван пристап и компромитираниот хост бил регистриран на Zoho Assist сметка поврзана со анонимна Proton Mail адреса.

Алатката била користена за директна интеракција (hands-on keyboard) и извидување на Active Directory (AD). Таа исто така била користена за распоредување на Velociraptor, преземен како MSI фајл од Supabase bucket.

Velociraptor е легитимна алатка за дигитална форензика и одговор на инциденти (DFIR), за која Cisco Talos неодамна предупреди дека се злоупотребува во ransomware напади.

Во нападите забележани од Huntress, DFIR платформата се користи како рамка за команда и контрола (C2) која комуницира со напаѓачите преку Cloudflare Workers.

Истражувачите забележуваат дека напаѓачот користел застарена верзија на Velociraptor, 0.73.4, која е ранлива на слабост за ескалација на привилегии што овозможува зголемување на дозволите на хостот.

Заканувачкиот актер исто така инсталирал Cloudflared од официјалното GitHub складиште на Cloudflare, користејќи го како секундарен пристапен канал базиран на тунели за C2 редундантност.

Во некои случаи, постојаноста била обезбедена и преку закажана задача (TPMProfiler) која отвора SSH „бекдор“ преку QEMU.

Напаѓачите исто така ги оневозможиле Windows Defender и Firewall преку модификации во регистарот, за да осигураат дека преземањето дополнителни payload-и нема да биде блокирано.

„Приближно една секунда по оневозможувањето на Defender, заканувачкиот актер презеде свежа копија од VS Code бинарниот фајл“, наведуваат истражувачите.

Синџир на напад (Attack chain)

Безбедносни ажурирања и мерки за ублажување

Се препорачува системските администратори да го надградат SolarWinds Web Help Desk на верзија 2026.1 или понова, да го отстранат јавниот интернет пристап до администраторските интерфејси на SolarWinds WHD и да ги ресетираат сите креденцијали поврзани со производот.

Huntress исто така сподели Sigma правила и индикатори на компромитација за да помогне при детекција на активностите на Zoho Assist, Velociraptor, Cloudflared и VS Code тунели, тивки MSI инсталации и енкодирано извршување на PowerShell.

Ниту Microsoft, ниту Huntress не ги поврзаа набљудуваните напади со конкретни групи закани, и не беа откриени детали за таргетираните системи, освен што Microsoft ги карактеризираше како „високо вредни ресурси“.

Извори:

  • Bleeping Computer – Hackers exploit SolarWinds WHD flaws to deploy DFIR tool in attacks Bleeping Computer