Original Title: Hackers exploit SolarWinds WHD flaws to deploy DFIR tool in attacks
Published (UTC): 2026-02-09T11:28:15+00:00
要旨(日本語)
・CVE-2025-40551およびCVE-2025-26399(いずれも未認証RCEの重大脆弱性)を突くキャンペーンが1月16日から進行、CISAが悪用を警告。Huntressが2026年2月7日に活動を確認。
・少なくとも3組織が標的に。Microsoftもインターネット公開のWHDに対する多段侵入を観測したが、当該CVE悪用の確証は示さず。
・初期侵入後、CatboxからMSIでZoho ManageEngine Assist(Zoho Assist/Meetings)を導入し、無人アクセスを設定。Proton Mailに紐づくアカウントにホストを登録。
・RMMを用いてActive Directory偵察を実施し、SupabaseからMSIでVelociraptorを配布・展開。
・Velociraptor(正規DFIRツール)をCloudflare Workers経由のC2として転用。使用版0.73.4には特権昇格の既知欠陥があり、Cisco Talosもランサム用途での悪用に警鐘。
・Cloudflare公式GitHubからCloudflaredを導入し、トンネル型の冗長C2/永続化チャネルを確保。
・一部環境でTPMProfilerというスケジュールタスクで永続化し、QEMU経由のSSHバックドアを開設。
・レジストリ変更でWindows Defender/Firewallを無効化し、追加ペイロード取得を容易化。その直後にVS Codeバイナリも取得。
・推奨対策:WHDを2026.1以降へ更新、管理UIの外部公開を遮断、関連資格情報を全てリセット。
・検知支援:HuntressがSigmaルールとIoCを公開(Zoho Assist、Velociraptor、Cloudflared、VS Codeトンネル、サイレントMSI、エンコードPowerShellの検知)。犯行グループの特定は未了で、標的は「高価値資産」。
コメントを残す