SolarWinds WHD误差被用于安排多阶段网络攻击链

首页 > 清静研究 > 清静转达 > 清静简讯

SolarWinds WHD误差被用于安排多阶段网络攻击链

宣布时间 2026-02-10

1. SolarWinds WHD误差被用于安排多阶段网络攻击链

2月9日，Huntress Security研究职员披露黑客正使用SolarWinds Web Help Desk（WHD）误差安排正当工具实验恶意攻击。攻击者针对至少三个组织，通过CVE-2025-40551和CVE-2025-26399两个高危误差获取初始会见权限，随后从Catbox平台下载MSI文件装置Zoho ManageEngine Assist署理，设置无人值守会见并将受熏染主机注册至匿名Proton Mail关联的Zoho账户。该工具被用于直接键盘操作、AD侦探及安排Velociraptor，后者从Supabase存储桶获取，作为C2框架通过Cloudflare Workers与攻击者通讯。攻击链显示，威胁行为者接纳多手段维持长期化：安排过时Velociraptor 0.73.4版、装置Cloudflared建设C2冗余隧道、通过妄想使命TPMProfiler团结QEMU开启SSH后门，并修改注册表禁用Windows Defender及防火墙以规避检测。研究职员视察到攻击者短暂禁用Defender后下载VS Code新副本，确保后续载荷顺遂执行。

https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/

2. SmarterTools遭Warlock勒索软件攻击

2月9日，克日，SmarterTools公司遭遇Warlock勒索软件团伙网络攻击，因由系员工安排的未更新SmarterMail虚拟机（VM）保存CVE-2026-23760身份验证绕过误差。该误差允许攻击者重置治理员密码并获取完全权限，进而通过Active Directory横向渗透至12台Windows服务器及辅助数据中心。只管公司Linux服务器未受波及，且Sentinel One清静产品乐成阻挡最终加密载荷，受影响系统已隔离并从备份恢复，但此次事务仍袒露出严重清静危害。据首席商务官德里克·柯蒂斯透露，公司网络中约30台SmarterMail服务器/虚拟机中保存单点误差，攻击者使用此缺口安排Velociraptor、SimpleHelp及保存误差的WinRAR版本，团结启动项与妄想使命实现长期化。Cisco Talos此前已报告Velociraptor被滥用于勒索软件攻击的案例，而此次攻击中，Warlock团伙更通过SmarterMail内置的“卷挂载”功效强化系统控制权。

https://www.bleepingcomputer.com/news/security/hackers-breach-smartertools-network-using-flaw-in-its-own-software/

3. BeyondTrust修复高危CVE-2026-1731误差

2月9日，BeyondTrust宣布紧迫清静更新，修复影响远程支持（RS）及特权远程会见（PRA）产品的高危误差CVE-2026-1731。该误差被归类为操作系统下令注入误差，CVSS评分高达9.9，允许未经身份验证的远程攻击者通过发送全心结构的请求，在网站用户上下文中执行操作系统下令，进而导致远程代码执行、未授权会见、数据泄露及服务中止。BeyondTrust强调，自托管客户若未启用自动更新，需手动应用补丁；运行低于21.3版本的RS或低于22.1版本的PRA用户需先升级至兼容版本再打补丁。该误差由清静研究员Harsh Jaiswal于2026年1月31日通过AI驱动的变种剖析发明。据其披露，全球约11,000个BeyondTrust实例袒露于互联网，其中8,500个为外地安排，若未实时打补丁，仍保存严重清静危害。现在，误差细节尚未完全果真，以留出用户升级时间。

https://thehackernews.com/2026/02/beyondtrust-fixes-critical-pre-auth-rce.html

4. Phorpiex撒播Global Group勒索软件垂纶新手法

2月9日，Forcepoint X-Labs研究职员发明一起使用Phorpiex恶意软件撒播Global Group勒索软件的大规模网络垂纶运动。该攻击通过伪装成“Document.doc”的Windows快捷方法文件（.lnk）实验，使用双扩展名诱骗用户点击，现实文件为.lnk名堂，但Windows默认隐藏最后扩展名，导致用户误以为是通俗Word文档。攻击链始于垂纶邮件，主题多为“您的文档”以引发用户好奇或担心。点击.lnk文件后，攻击者接纳“借力打力”（Living off the Land，LotL）手艺，挟制系统自带工具如PowerShell和下令提醒符执行恶意下令，下载并运行伪装成系统组件（如windrv.exe）的病毒。Global Group勒索软件作为Mamona的升级版，其焦点威胁在于“静默”模式：所有操作均在外地完成，无需毗连外部服务器获取加密密钥，主机自身天生密钥后直接加密文件，支持离线状态下锁定命据。该勒索软件接纳ChaCha20-Poly1305加密算法，无数字密钥时文件险些无法恢复。

https://hackread.com/hackers-global-group-ransomware-offline-phishing-emails/

5. 欧盟委员会中央移动装备治理系统遭网络攻击

2月9日，欧盟委员会检测到中央移动装备治理（MDM）系统1月30日遭网络攻击，可能泄露员工姓名、电话号码等小我私家信息，但现实手持装备未被入侵。此次攻击恰逢Ivanti公司披露其Endpoint Manager Mobile（EPMM）软件保存CVE-2026-1281、CVE-2026-1340两个高危代码注入误差越日，这些误差允许黑客绕过认证远程控制服务器。委员会在发明攻击后9小时内完成系统清静加固与整理，但事务仍引发对Ivanti补丁战略的质疑。清静专家David Neeson指出，Ivanti未提供完整修复计划，仅宣布暂时补丁，且补丁因版本适配问题保存失效危害，这种"碎片化修复"可能带来比周全更新更大的清静隐患。据悉，Ivanti妄想在未来数月开发周全修复，并推出RPM检测工具辅助误差排查。欧盟委员会允许周全审查事务，强化CERT-EU等机构24小时威胁监控能力。

https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/

6. dYdX供应链遭新型跨语言恶意包攻击

2月6日，网络清静研究职员披露npm和PyPI客栈中dYdX相关正当包遭供应链攻击：@dydxprotocol/v4-client-js（npm）3.4.1等版本及dydx-v4-client（PyPI）1.1.5post1版本被植入恶意代码。这些包用于dYdX v4协议的加密钱币生意、钱包管理等高敏感操作，累计生意量超1.5万亿美元。攻击者通过盗用开发者账户推送恶意更新，npm包括钱包窃取器，可窃取助记词及装备信息；PyPI包特殊植入远程会见木马（RAT），毗连外部服务器获取指令，Windows系统下通过“CREATE_NO_WINDOW”标记隐匿执行。恶意代码被植入焦点文件，在包正常使用时触发，PyPI版本接纳100轮混淆处置惩罚，跨生态系统攻击协同性批注攻击者直接获取宣布基础设施会见权。dYdX在X平台确认事务，建议用户隔离装备、转移资产至新钱包、替换API密钥及凭证。

https://thehackernews.com/2026/02/compromised-dydx-npm-and-pypi-packages.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究