Цифровые злоумышленники использовали уязвимые экземпляры SolarWinds Web Help Desk (WHD) в декабре для проникновения в ИТ-среды жертв, перемещения внутри сети и кражи учетных данных с высокими привилегиями, согласно исследователям Microsoft.
Однако остается одна загадка: какой именно недостаток в популярном приложении для обработки заявок службы поддержки был использован неизвестными злоумышленниками в этих атаках?
«Мы еще не подтвердили, связаны ли атаки с последним набором уязвимостей WHD, раскрытых 28 января 2026 года, таких как CVE-2025-40551 и CVE-2025-40536, или же они вытекают из ранее раскрытых уязвимостей, таких как CVE-2025-26399», — заявили охотники за угрозами в пятничном блоге. «Поскольку атаки произошли в декабре 2025 года и одновременно на машинах, уязвимых как к старым, так и к новым наборам CVE, мы не можем достоверно подтвердить точный CVE, использованный для получения первоначального доступа».
Команда из Редмонда заявила, что продолжает расследование вторжений и будет обновлять анализ по мере поступления новой информации. Исследователи отказались отвечать на запросы The Register об этих атаках, включая информацию о том, сколько экземпляров WHD организаций было скомпрометировано.
SolarWinds не ответила немедленно на наш запрос о комментарии.
CVE-2025-40551 — это критическая уязвимость ненадёжной десериализации, которая может привести к удаленному выполнению кода, позволяя удаленному неаутентифицированному злоумышленнику выполнять команды ОС на затронутой системе. Она получила рейтинг CVSS 9.8, и примерно через неделю после того, как поставщик выпустил бюллетень безопасности, настоятельно рекомендуя клиентам устранить уязвимость, Агентство по кибербезопасности и защите инфраструктуры США добавило эту ошибку в свой каталог известных уязвимостей, используемых в атаках (Known Exploited Vulnerabilities catalog), и предоставило федеральным агентствам всего три дня на устранение этой уязвимости.
В то же время SolarWinds исправила CVE-2025-40536 — уязвимость обхода средств контроля безопасности высокой степени серьезности (8.1 CVSS), которая может позволить неаутентифицированному злоумышленнику получить доступ к определенной ограниченной функциональности. Эта уязвимость пока не появилась в каталоге CISA.
Между тем, CVE-2025-26399 — это критическая уязвимость с рейтингом 9.8, которая также позволяет удаленным неаутентифицированным злоумышленникам выполнять команды на хост-машине. SolarWinds пыталась исправить эту уязвимость три раза, прежде чем исправление наконец сработало. «Эта уязвимость является обходом исправления CVE-2024-28988, которая, в свою очередь, является обходом исправления CVE-2024-28986», — отметила SolarWinds в своем раскрытии. Преступники использовали обе эти более ранние уязвимости.
Хотя Microsoft еще не определила, какие из этих уязвимостей использовали злоумышленники в декабрьских атаках, специалисты по безопасности говорят, что после эксплуатации одной из ошибок SolarWinds WHD скомпрометированные устройства запускали PowerShell для использования фоновой интеллектуальной службы передачи (BITS) для загрузки и выполнения полезной нагрузки.
BITS — это встроенная функция операционной системы Windows, используемая для управления передачей файлов между машинами. Как и несколько легитимных функций Microsoft, злоумышленники нашли способ использовать BITS в своих целях — в данном случае, для загрузки и выполнения вредоносного ПО. Это пример техники, которую защитники называют «жизнь за счет земли» (living off the land), которая включает использование легитимных административных инструментов, уже установленных на машинах жертв, для злонамеренных целей, а не использование пользовательского вредоносного ПО, которое с большей вероятностью будет обнаружено и заблокировано антивирусным программным обеспечением.
Microsoft отметила, что на «нескольких хостах» злоумышленники также загружали и устанавливали Zoho ManageEngine, легитимный продукт удаленного мониторинга и управления (RMM), для обеспечения долгосрочного удаленного контроля над скомпрометированной системой.
Затем, используя этот инструмент удаленного управления, злоумышленники перечисляли конфиденциальных пользователей и группы домена, включая Domain Admins, и устанавливали обратные SSH и RDP-соединения для обеспечения персистентности.
«В некоторых средах Microsoft Defender также наблюдал и выдавал предупреждения, отмечая поведение злоумышленника при создании запланированной задачи для запуска виртуальной машины QEMU от имени учетной записи SYSTEM при запуске, фактически скрывая вредоносную активность в виртуализированной среде, при этом открывая SSH-доступ через перенаправление портов», — написали исследователи.
Кроме того, в некоторых случаях злоумышленники использовали DLL sideloading для доступа к памяти подсистемы локальной безопасности Windows (LSASS) и кражи учетных данных. «По крайней мере, в одном случае активность переросла в DCSync с исходного хоста доступа, что указывает на использование учетных данных с высокими привилегиями для запроса данных паролей у контроллера домена», — говорится в блоге.
Если вы еще этого не сделали: примените исправления WHD сейчас и удалите общедоступный доступ к административным путям.
Команды безопасности также должны сканировать и удалять несанкционированные RMM-инструменты, в частности артефакты ManageEngine RMM, такие как ToolsIQ.exe, рекомендует Microsoft.
Также рекомендуется сменить учетные данные — Редмонд рекомендует начать с учетных записей служб и администраторов, доступных из WHD — и изолировать любые известные скомпрометированные хосты. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
