Злоумышленники используют уязвимости SolarWinds WHD для внедрения легальных инструментов и создания собственной SIEM

Аналитики компании Huntress, специализирующейся на управляемых услугах безопасности, расследовали сложную цепочку атак, начавшуюся с эксплуатации критических уязвимостей в SolarWinds Web Help Desk (WHD). Злоумышленники использовали уязвимости для удаленного выполнения кода, после чего быстро развернули легитимные инструменты для удаленного управления, туннелирования и командования, превратив их в элементы вредоносной инфраструктуры.

Описание

Инцидент стал возможен из-за недавно раскрытых уязвимостей в SolarWinds WHD, самой серьезной из которых является CVE-2025-40551, уже внесенная CISA (Агентство кибербезопасности и инфраструктурной безопасности США) в каталог активно эксплуатируемых уязвимостей. Другая уязвимость, CVE-2025-26399, также активно используется в реальных атаках, о чем недавно предупреждала Microsoft. Все версии SolarWinds WHD до 12.8.7 HF1 уязвимы.

В ходе расследования Huntress обнаружила, что атака началась с процесса "wrapper.exe", служебной оболочки WHD, которая инициировала "java.exe". Затем злоумышленники использовали Java-процесс для запуска "cmd.exe" и скрытой установки полезной нагрузки (payload) в формате MSI. Полезная нагрузка была размещена на файловом хостинге Catbox и представляла собой агент Zoho ManageEngine RMM - легального инструмента удаленного управления, который был сконфигурирован для автономного доступа к учетной записи злоумышленника.

Получив точку опоры в системе, злоумышленники немедленно перешли к активным действиям. Используя процесс агента RMM ("TOOLSIQ.EXE"), они провели разведку в Active Directory, чтобы перечислить все компьютеры домена. Следующим шагом стала установка Velociraptor - мощного открытого инструмента для цифровой криминалистики и реагирования на инциденты (DFIR). Однако в данном случае он был настроен для подключения к инфраструктуре злоумышленника, превратившись в полноценный фреймворк для командования и управления (C2).

Конфигурационный файл Velociraptor указывал на сервер, размещенный на Cloudflare Workers, с использованием поддомена "qgtxtebl". Этот же идентификатор ранее наблюдался в других кампаниях, связанных с эксплойтами ToolShell и развертыванием программы-вымогателя (ransomware) Warlock, что указывает на возможную связь между операциями.

Установив агент Velociraptor в качестве службы Windows, злоумышленники выполнили серию закодированных команд PowerShell. Первой командой была проверка хэша файла "code.exe", уже присутствующего на диске. Затем последовала установка туннельного клиента Cloudflared для создания резервного канала связи.

Одним из самых примечательных действий стало развертывание скрипта PowerShell, который собирал детальную системную информацию с помощью командлета "Get-ComputerInfo" и отправлял ее напрямую в экземпляр Elastic Cloud, контролируемый атакующими. По сути, злоумышленники создали себе собственную SIEM-систему (систему управления информацией и событиями безопасности), используя легальную облачную инфраструктуру Elastic для триажирования своих жертв. Они централизованно получали профили всех скомпрометированных систем, которые могли анализировать через Kibana - инструмент, обычно используемый защитниками.

Далее атакующие отключили защитные механизмы, внеся изменения в реестр для деактивации Windows Defender и брандмауэра. После этого они загрузили новую копию бинарного файла, похожего на VS Code, возможно, для будущего туннелирования.

Особый интерес представляет механизм отказоустойчивости C2. Скрипт периодически опрашивал резервный домен. Если сервер отвечал определенным кодом состояния HTTP 406, это служило сигналом для автоматической замены домена C2 в конфигурации Velociraptor и перезапуска службы. Этот подход позволял операторам динамически менять инфраструктуру командования для всего флота скомпрометированных устройств.

В качестве механизма обеспечения устойчивости (persistence) в некоторых случаях использовалась вредоносная запланированная задача с именем "TPMProfiler", которая запускала эмулятор QEMU для создания SSH-бэкдора.

Huntress рекомендует организациям, использующим SolarWinds Web Help Desk, немедленно обновить его до версии 2026.1 или новее. Административные интерфейсы WHD не должны быть общедоступными, их следует размещать за VPN или межсетевым экраном. Необходимо сбросить пароли всех учетных записей, связанных с WHD, и провести аудит систем на наличие несанкционированных инструментов, таких как Zoho Assist, Velociraptor, Cloudflared или неожиданных служб. Компания уведомила Elastic и правоохранительные органы о вредоносном использовании их инфраструктуры.

Индикаторы компрометации

Domains

v2-api.mooo.com

URLs

https://auth.qgtxtebl.workers.dev/
https://files.catbox.moe/tmp9fc.msi
https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-windows-amd64.msi
https://vdfccjpnedujhrzscjtq.supabase.co/storage/v1/object/public/image/code.txt
https://vdfccjpnedujhrzscjtq.supabase.co/storage/v1/object/public/image/v4.msi

Emails

esmahyft@proton.me

SHA256

34b2a6c334813adb2cc70f5bd666c4afbdc4a6d8a58cc1c7a902b13bbd2381f4
46831be6e577e3120084ee992168cca5af2047d4a08e3fd67ecd90396393b751
897eae49e6c32de3f4bfa229ad4f2d6e56bcf7a39c6c962d02e5c85cd538a189
bbd6e120bf55309141f75c85cc94455b1337a1a4333f6868b245b2edfa97ef44

Sigma

title: SolarWinds Web Help Desk Exploitation - Uncommon Process Activity

id: 8c7f4a2d-3b9e-4f1c-9a6d-2e8f5c3d9a1b

status: experimental

description: Detects suspicious process execution patterns associated with the exploitation of SolarWinds Web Help Desk (CVE-2025-40551, CVE-2025-40536, CVE-2025-26399). Identifies PowerShell spawned from Java/Tomcat processes in WHD directory executing BITS transfers or suspicious commands.

references:

- https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/

- https://nvd.nist.gov/vuln/detail/cve-2025-40551

- https://nvd.nist.gov/vuln/detail/CVE-2025-40536

- https://nvd.nist.gov/vuln/detail/CVE-2025-26399

author: Huntress Team

date: 2026-02-06

tags:

- attack.execution

- attack.t1059.001

- attack.persistence

- attack.t1197

- attack.credential_access

- cve.2025.40551

- cve.2025.40536

- cve.2025.26399

logsource:

category: process_creation

product: windows

detection:

selection_parent:

ParentImage|contains: '\WebHelpDesk\bin\'

ParentImage|endswith:

- '\java.exe'

- '\javaw.exe'

ParentCommandLine|contains: 'tomcat'

selection_suspicious_child:

Image|endswith:

- '\powershell.exe'

- '\pwsh.exe'

- '\cmd.exe'

CommandLine|contains:

- 'bitsadmin'

- 'Start-BitsTransfer'

- 'certutil'

- 'Invoke-WebRequest'

- 'Invoke-RestMethod'

- 'iwr'

- 'irm'

- 'curl'

- 'wget'

- 'Net.WebClient'

- 'DownloadFile'

- 'DownloadString'

- '-EncodedCommand'

- '-Enc'

- 'base64'

condition: all of selection_*

falsepositives:

- Legitimate administrative activity via SolarWinds WHD (should be rare)

- Authorized software updates or maintenance scripts

level: critical

title: SolarWinds Web Help Desk Exploitation - Zoho ManageEngine RMM Deployment

id: 9d8e5b3f-4c2a-5e7d-8b9c-3f6e7d8a2c1d

status: experimental

description: Detects deployment and execution of Zoho ManageEngine RMM tools (ToolsIQ.exe) following potential SolarWinds Web Help Desk compromise. This legitimate RMM tool has been abused by threat actors for remote control.

references:

- https://www.microsoft.com/en-us/security/blog/2026/02/06/active-exploitation-solarwinds-web-help-desk/

author: Huntress Team

date: 2026-02-06

tags:

- attack.command_and_control

- attack.t1219

- attack.execution

logsource:

category: process_creation

product: windows

detection:

selection_rmm_exec:

Image|endswith: '\ToolsIQ.exe'

selection_rmm_parent:

ParentImage|endswith: '\ToolsIQ.exe'

Image|endswith:

- '\powershell.exe'

- '\pwsh.exe'

- '\cmd.exe'

selection_whd_context:

CommandLine|contains: '\WebHelpDesk\'

condition: selection_rmm_exec or (selection_rmm_parent and selection_whd_context)

falsepositives:

- Authorized deployment of ManageEngine RMM in the environment

- Legitimate IT support activities

level: high