駭客正在利用 SolarWinds Web Help Desk (WHD) 的漏洞，部署合法工具用於惡意目的，例如 Zoho ManageEngine 遠端監控和管理工具。據網路安全公司稱，威脅行為者利用了 CVE-2025-40551 漏洞（CISA 上週已將其標記為攻擊中利用的漏洞）和 CVE-2025-26399 漏洞。這兩個安全問題都被評為嚴重級別，可用於在未經身份驗證的情況下在主機上執行遠端程式碼。

攻擊者至少針對三個組織，並利用 Cloudflare 隧道實現持久化，以及 Velociraptor 網路事件回應工具進行命令和控制 (C2)。攻擊者獲得初始存取權限後，透過從 Catbox 檔案託管平台取得的 MSI 檔案安裝了 Zoho ManageEngine Assist 代理程式。他們配置了該工具以進行無人值守存取，並將受感染的主機註冊到與匿名 Proton Mail 地址關聯的 Zoho Assist 帳戶。此工具用於直接進行鍵盤操作和Active Directory (AD)偵察，它也用於部署Velociraptor，該Velociraptor是從Supabase儲存桶中取得的MSI檔案。

攻擊者也透過修改登錄機碼停用了 Windows Defender 和防火牆，以確保不會阻止取得其他有效載荷。研究人員表示：在禁用 Defender 大約一秒鐘後，攻擊者下載了 VS Code 二進位檔案的新副本。

建議系統管理員將 SolarWinds Web Help Desk 升級至 2026.1 或更高版本，移除 SolarWinds WHD管理介面的公共網際網路存取權限，重設與該產品關聯的所有憑證。

資料來源：https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/