概要：SolarWinds WHDのRCEが標的に

脅威アクターが、SolarWinds Web Help Desk（WHD）の重大なリモートコード実行（RCE）脆弱性を悪用し、カスタムマルウェアを展開して永続的なリモート制御を確立していることが判明しました。セキュリティ研究者は、2026年2月7日から、最新のセキュリティパッチを適用していない組織を狙った攻撃を観測しています。

攻撃の詳細：悪用される脆弱性とマルウェア展開

この侵入は、最近公開されたRCE脆弱性であるCVE-2025-40551およびCVE-2025-26399を悪用しています。Huntressの研究者によると、攻撃はWHDサービスラッパー（wrapper.exe）がJavaプロセスを起動し、悪意のあるコマンドを実行するところから始まります。このプロセスは、Catboxのファイル共有サービスにホストされているWindowsインストーラー（MSI）ペイロードを介して、Zoho ManageEngine RMMエージェントを密かにインストールします。

一度インストールされると、Zohoエージェントはバックドアとして機能し、無人アクセス用に構成され、攻撃者によって制御されるProton Mailアカウントにリンクされます。この正規のリモート管理ツールが悪用されることで、攻撃者は即座に警戒されることなく侵害された環境へのアクセスを維持できます。

さらに、攻撃者はオープンソースのデジタルフォレンジックツールであるVelociraptorを悪用し、コマンド＆コントロール（C2）フレームワークとして使用しています。これは、悪意のあるCloudflare Workerドメインと通信し、被害者のマシン上でPowerShellコマンドを実行します。

巧妙な持続性と回避策

攻撃キャンペーンは、防御側の対策を回避するための洗練された手法を示しています。

• 防御回避：攻撃者は、レジストリを変更してWindows Defenderを強制的に無効化し、リアルタイム監視とアンチスパイウェア保護を停止させます。
• C2フェイルオーバー：マルウェアには独自の冗長性スクリプトが含まれています。特定のダイナミックDNSドメインを定期的にプローブし、サーバーが特定のHTTP 406エラーコードを返した場合、スクリプトはVelociraptorの構成ファイルを自動的に書き換え、C2サーバーを切り替えます。これにより、攻撃者はプライマリドメインがブロックされた場合でも、インフラを即座にローテーションできます。

影響を受けるバージョンと推奨される対策

SolarWinds Web Help Deskを使用している組織は、C:\Program Files\WebHelpDesk\version.txtでインストールされているバージョンを直ちに確認する必要があります。バージョン12.8.7 HF1より前のすべてのバージョンが脆弱です。管理者は、この重大なセキュリティギャップを閉じるために、公式のSolarWindsアップデートを直ちに適用する必要があります。

侵害の痕跡（IOCs）

• https://files.catbox[.]moe/tmp9fc.msi SHA256: 897eae49e6c32de3f4bfa229ad4f2d6e56bcf7a39c6c962d02e5c85cd538a189 (Zoho Meetings Installer)
• https://vdfccjpnedujhrzscjtq.supabase[.]co/storage/v1/object/public/image/v4.msi SHA256: 46831be6e577e3120084ee992168cca5af2047d4a08e3fd67ecd90396393b751 (Velociraptor Installer)
• https://auth.qgtxtebl.workers[.]dev/ (Velociraptor Server URL)
• https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-windows-amd64.msi (Cloudflare Installer)
• https://vdfccjpnedujhrzscjtq.supabase[.]co/storage/v1/object/public/image/code.txt
• C:\ProgramData\Microsoft\code.exe SHA256: 34b2a6c334813adb2cc70f5bd666c4afbdc4a6d8a58cc1c7a902b13bbd2381f4 (Portable version of VSCode)
• https://62c4cbb992274c32922cfbb49d623bd1.us-central1.gcp.cloud.es[.]io (Elastic Search URL)
• esmahyft@Library/Application Support/BraveSoftware/Brave-Browser-Beta/BraveWallet/1.0.223/images/proton.png[.]me (Zoho Assist Account Email)
• v2-api.mooo[.]com (Velociraptor Failover Domain)
• client.config.yaml SHA256: bbd6e120bf55309141f75c85cc94455b1337a1a4333f6868b245b2edfa97ef44 (Velociraptor Config File)
• スケジュールされたタスク (持続性)
  • パス: C:\Windows\System32\Tasks\TPMProfiler
  • コマンド: C:\Users\[user]\tmp\qemu-system-x86_64.exe -m 1G -smp 1 -hda vault.db -device e1000,netdev=net0 -netdev user,id=net0,hostfwd=tcp::22022-:22
• スケジュールされたタスク (持続性)
  • パス: C:\Windows\System32\Tasks\TPMProfiler
  • コマンド: C:\Users\[user]\local\qemu-system-x86_64 -m 1G -smp 1 -hda bisrv.dll -device e1000,netdev=net0 -netdev user,id=net0,hostfwd=tcp::32567-:22

---

元記事: https://gbhackers.com/active-exploitation-of-solarwinds-web-help-desk-rce/