【安全资讯】威胁组织利用SolarWinds WHD漏洞部署Velociraptor工具

概要：

近期，网络安全研究人员发现一起针对SolarWinds Web Help Desk（WHD）软件的高危攻击活动。攻击者利用已公开的严重漏洞，在目标网络中部署合法的远程管理工具和事件响应平台进行恶意控制，凸显了合法工具被武器化利用的复杂威胁趋势，对依赖此类IT管理软件的企业和组织构成了严重风险。

主要内容：

Huntress Security的研究人员于2026年2月7日发现并调查了此次攻击活动。威胁行为者通过利用SolarWinds WHD中的两个关键远程代码执行漏洞CVE-2025-40551和CVE-2025-26399，在未授权的情况下成功入侵了至少三个组织。这些漏洞均被美国网络安全和基础设施安全局标记为已在攻击中被利用。

初始入侵后，攻击者从Catbox文件托管平台获取MSI安装包，部署了Zoho ManageEngine Assist代理工具，并将其配置为无人值守访问模式，用于直接的键盘操作和Active Directory侦察。随后，攻击者进一步从Supabase存储桶获取MSI文件，部署了名为Velociraptor的合法数字取证和事件响应工具，并将其滥用作命令与控制框架。

为确保持久访问和冗余通信，攻击者还部署了来自Cloudflare官方仓库的Cloudflared隧道工具，并通过修改注册表禁用Windows Defender和防火墙以规避检测。在某些案例中，攻击者还通过创建计划任务建立了SSH后门。整个攻击链展示了攻击者如何系统性地组合利用漏洞、合法工具和云服务来建立隐蔽且稳固的控制通道。