СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:42
#ИБ

Эксплуатация SolarWinds WHD: Velociraptor, Cloudflared и эксфильтрация

Исследователи зафиксировали целенаправленную эксплуатацию SolarWinds Web Help Desk (WHD), в ходе которой злоумышленник последовательно использовал легитимные компоненты платформы и сторонние инструменты для получения доступа, устойчивого удержания и эксфильтрации данных. Атака сочетала в себе эксплуатацию встроенных сервисов, запуск исполняемых файлов и перепрофилирование защитных инструментов — что усложнило обнаружение и реагирование.

Как проходила атака (хронология)

  • Входная точка — оболочка службы веб-службы поддержки: злоумышленник запустил wrapper.exe, оболочку сервиса WHD.
  • Запуск Java-процесса: wrapper.exe породил java.exe, привязанный к базовому приложению WHD на базе Tomcat.
  • Установка полезной нагрузки: Java-процесс выполнил команду через cmd.exe для автоматической установки удалённого MSI.
  • Разведка с помощью Velociraptor: для командования и контроля злоумышленник использовал Velociraptor — инструмент, предназначенный для защиты конечных точек, но тут перепрофилированный для вредоносных целей. Первая команда Velociraptor включала проверку хэша существующего файла, что указывает на раннюю фазу разведки.
  • Создание устойчивого канала C2: злоумышленник установил Cloudflared из GitHub для организации туннелей прямого подключения в целях командования и контроля.
  • Сбор и эксфильтрация данных: выполнен PowerShell-скрипт, собравший обширную системную информацию и передавший её в контролируемый злоумышленником экземпляр Elastic Cloud, что свидетельствует о целенаправленной консолидации разведданных.
  • Повышение устойчивости инфраструктуры: примерно в одно время была выполнена команда для реализации механизма отработки отказа real‑time C2 и произведена загрузка кода Visual Studio, повышая живучесть атакующей инфраструктуры.
  • Дополнительная разведка и закрепление: использовалась команда systeminfo как мера избыточности для сбора сведений; для закрепления создана плановая задача под именем TPMProfiler, часто применяемая в сценариях эксплуатации в виде маскирующей «законной» административной задачи.

Инструменты и тактики злоумышленника

  • wrapper.exe и java.exe — использование легитимных компонентов WHD/Tomcat для исполнения вредоносного кода.
  • MSI через cmd.exe — автоматизированная установка удалённой полезной нагрузки.
  • Velociraptor — инструмент EDR/DFIR, перепрофилированный для C2 и разведки (включая проверку хешей файлов).
  • Cloudflared — туннелирование для создания стабильного входящего канала управления.
  • PowerShell + Elastic Cloud — сбор системной телеметрии и эксфильтрация в контролируемую инфраструктуру.
  • Запланированная задача TPMProfiler — механизм закрепления и маскировки активности.

Последствия и оценка риска

Цепочка атак показывает скоординированную эксплуатацию платформы SolarWinds с применением привычных административных и защитных инструментов нестандартным образом, чтобы сохранить привилегии командования и непрерывно собирать разведданные. Наблюдается:

  • высокая вероятность эксфильтрации чувствительной информации;
  • повышенная устойчивость инфраструктуры злоумышленника благодаря fallback‑механизмам C2 и туннелям;
  • сложность обнаружения из‑за использования легитимных процессов и задач.

«Вся цепочка атак свидетельствует о злонамеренной эксплуатации платформы SolarWinds, использующей обычные инструменты неожиданными способами для сохранения командных привилегий и сбора разведывательных данных».

Рекомендации по смягчению последствий

Для организаций, использующих SolarWinds Web Help Desk, ключевые меры защитного характера:

  • Обновить WHD до версии 2026.1 или более поздней — это устраняет критические уязвимости, идентифицированные как CVE-2025-26399, CVE-2025-40536 и CVE-2025-40551.
  • Убедиться, что административные интерфейсы WHD не доступны общедоступно — размещать их за VPN или брандмауэром.
  • Сбросить пароли для учетных записей служб и проверить целостность учётных данных.
  • Удалить несанкционированное ПО удалённого доступа и непредвиденные экземпляры служб/процессов.
  • Провести проверку на наличие следов установки Velociraptor, Cloudflared, необычных MSI и запланированных задач типа TPMProfiler.
  • Внедрить постоянный мониторинг целостности процессов, необычной сетевой активности (включая туннели) и эксфильтрации в облачные сервисы.

Вывод

Зафиксированная цепочка атак иллюстрирует, как злоумышленники комбинируют эксплуатацию уязвимостей, злоупотребление легитимными инструментами и создание резервных каналов управления для достижения устойчивого контроля над инфраструктурой. Это подчёркивает необходимость своевременного обновления ПО, сокращения поверхности атаки админ‑интерфейсов и комплексного подхода к обнаружению угроз и реагированию.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: