概要
ハッカーがSolarWinds Web Help Desk (WHD) の脆弱性を悪用し、Zoho ManageEngine Assist、Cloudflareトンネル、Velociraptorといった正規のツールを悪意ある目的で展開していることが明らかになりました。この攻撃は少なくとも3つの組織を標的とし、永続性とコマンド&コントロール(C2)の確立のために複数のツールを巧妙に組み合わせています。
攻撃の詳細と悪用された脆弱性
この悪意ある活動は、Huntress Securityの研究者によって2026年2月7日に発見されました。同社は、1月16日に始まったキャンペーンの一部であると考えています。攻撃者は、最近開示されたCVE-2025-40551とCVE-2025-26399という2つのSolarWinds WHDの脆弱性を悪用しています。これらの脆弱性はいずれも「重大」と評価されており、認証なしでホストマシン上でリモートコード実行を可能にするものです。CISA(サイバーセキュリティ・インフラセキュリティ庁)もこれらの脆弱性が悪用されていることを警告していました。Microsoftのセキュリティ研究者も同様の攻撃を観測していますが、具体的な脆弱性の悪用は確認していません。
攻撃チェーンとツールの展開
初期アクセスに成功した後、攻撃者は複数の段階でツールを展開しました。
- まず、CatboxというファイルホスティングプラットフォームからMSIファイルを介してZoho ManageEngine Assistエージェントをインストールし、無人アクセスとActive Directory (AD) 偵察のために設定しました。
- 次に、SupabaseバケットからMSIファイルとしてVelociraptorを展開しました。Velociraptorは本来、デジタルフォレンジックおよびインシデントレスポンス (DFIR) ツールですが、今回の攻撃ではCloudflare Workersを介して攻撃者と通信するコマンド&コントロール (C2) フレームワークとして使用されました。注目すべきは、攻撃者が使用したVelociraptorのバージョン0.73.4が、権限昇格の脆弱性を抱えていることです。
- さらに、Cloudflareの公式GitHubリポジトリからCloudflaredをインストールし、C2冗長性のためのセカンダリトンネルベースアクセスチャネルとして利用しました。
- 永続化のために、一部のケースではスケジュールされたタスク (TPMProfiler) を介してQEMU経由でSSHバックドアを開設しました。
- 攻撃者はまた、追加ペイロードの取得がブロックされないよう、レジストリ変更を通じてWindows Defenderとファイアウォールを無効化しました。Defender無効化の約1秒後に、VS Codeのバイナリをダウンロードしていたことも報告されています。
推奨される対策
システム管理者は、これらの攻撃から身を守るために以下の対策を講じることが推奨されます。
- SolarWinds Web Help Deskをバージョン2026.1以降にアップグレードしてください。
- SolarWinds WHD管理インターフェースへの公開インターネットアクセスを削除してください。
- 製品に関連するすべての認証情報をリセットしてください。
Huntressは、Zoho Assist、Velociraptor、Cloudflared、VS Codeトンネルのアクティビティ、サイレントMSIインストール、エンコードされたPowerShell実行を検出するためのSigmaルールと侵害指標も共有しています。今回の攻撃は特定の脅威グループには帰属されておらず、標的となった組織についても「高価値資産」と特徴付けられる以外は開示されていません。