Исследователи Huntress Security опубликовали новые данные об эксплуатации критической уязвимости SolarWinds Web Help Desk (WHD), раскрывая, как как минимум в трех известных инцидентах злоумышленники проводили обширную постэксплуатационную деятельность с использованием общего набора инструментов, включая легитимные сервисы, такие как Zoho ManageEngine и Elastic. Отслеживаемая как CVE-2025-40551, уязвимость десериализации данных была впервые отмечена SolarWinds 28 января, а на прошлой неделе была добавлена в каталог Уязвимостей, в которых известно об эксплуатации (Kev) Агентства по обеспечению кибербезопасности и безопасности инфраструктуры США (Cisa), что предписывает правительственным органам США немедленно устранить ее. «Злоумышленники активно используют уязвимости WHD для удаленного выполнения кода (RCE) и развертывания дополнительных инструментов в средах жертв», — заявила команда Huntress. Исследовательская группа Huntress, которая защищает множество клиентов SolarWinds через свой канал, обнаружила, что, проникнув в среды своих жертв, злоумышленники взяли под контроль сервис-обертку WMD для запуска базового Java-приложения, что позволило им установить полезную нагрузку, которая фактически представляла собой агент удаленного мониторинга и управления (RMM) Zoho ManageEngine. После этого злоумышленник использовал агент RMM для выполнения нескольких команд обнаружения Active Directory для перечисления среды. Вскоре после этого они открыли сеанс удаленной поддержки Zoho Assist, который использовали для установки инструментария для цифровой криминалистики и реагирования на инциденты (DFIR) с открытым исходным кодом Velociraptor. «Хотя Velociraptor предназначен для помощи защитникам в мониторинге конечных точек и сборе артефактов, его возможности, такие как удаленное выполнение команд, извлечение файлов и выполнение процессов с помощью запросов VQL, делают его столь же эффективным в качестве фреймворка C2 [Command and Control], когда он направлен на инфраструктуру, контролируемую злоумышленником», — заявили в Huntress. В расследованных командой случаях злоумышленники фактически использовали довольно устаревшую версию Velociraptor, которая сама по себе содержала уязвимость повышения привилегий, раскрытую в 2025 году. Более того, инфраструктура серверов Velociraptor указывала на известную учетную запись Cloudflare, связанную с операцией программы-вымогателя Warlock, что, возможно, намекало на происхождение кампании. Помимо Velociraptor, злоумышленник также загрузил Cloudflared, клиент командной строки для Cloudflare Tunnel, вероятно, с целью создания второго резервного способа доступа. Затем они приступили к выполнению скрипта PowerShall для сбора системной информации — данных, таких как версия операционной системы, характеристики оборудования, членство в домене, установленные исправления — которые были извлечены в легитимный экземпляр Elastic Cloud, работающий в рамках бесплатной пробной версии на инфраструктуре программного обеспечения как услуги (SaaS) Elastic. Исследователи отметили некоторую иронию в том, что злоумышленник фактически создал для себя решение для управления информацией о безопасности и событиями (SIEM) на инфраструктуре Elastic для сортировки своих жертв. «Собственные инструменты Elastic, обычно используемые защитниками для поиска угроз и реагирования на инциденты, были перепрофилированы в качестве панели управления жертвами злоумышленника», — заявили они. «Мы сообщили об этом вредоносном экземпляре в Elastic, а также в правоохранительные органы и провели уведомление и информирование жертв для партнеров, не являющихся клиентами Huntress», — заявила команда Huntress.
Microsoft сообщает о дальнейших атаках
Полный отчет Huntress о своих исследованиях, доступный для прочтения здесь, подробно описывает различные другие действия, предпринятые злоумышленником в ходе их вторжений. Тем временем, в дополнение к этим выводам, Microsoft опубликовала подробную информацию о аналогичном многоэтапном вторжении, организованном через SolarWinds WHD, хотя она еще не смогла установить, использовали ли злоумышленники CVE-2025-40551 или CVE-2025-26399 — еще одну ошибку RCE, раскрытую в сентябре 2025 года, которая обошла ранее исправленную ошибку, которая, в свою очередь, обошла третью проблему, впервые отмеченную в 2024 году. В инциденте, расследованном Microsoft, злоумышленники использовали скомпрометированный экземпляр WHD для запуска PowerShell с целью загрузки и выполнения Zoho ManageEngine для получения контроля над системой, после чего они провели разведывательную деятельность, одновременно настраивая обратное безопасное туннелирование (SSH) и удаленный рабочий стол (RDP) для поддержания своего плацдарма. Microsoft также отметила, что злоумышленники создали запланированную задачу для запуска виртуальной машины QEMU под учетной записью SYSTEM при запуске, что фактически позволило им скрыть свою деятельность в виртуализированной среде. Huntress также отмечала это в некоторых случаях. На некоторых хостах, по словам Microsoft, злоумышленники также использовали динамическую подгрузку библиотек (DLL), чтобы получить доступ к памяти Local Security Authority Subsystem Service (LSASS) для кражи учетных данных. Помимо установки исправлений и изоляции скомпрометированных хостов, Microsoft рекомендует своим пользователям удалить любые артефакты RMM, особенно те, которые связаны с ManageEngine, которые могли быть добавлены после эксплуатации, и немедленно сменить учетные данные для всех служебных и административных учетных записей, доступных из WHD.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
