SolarWinds WHD漏洞被用于部署多阶段网络攻击链
发布时间 2026-02-101. SolarWinds WHD漏洞被用于部署多阶段网络攻击链
2月9日,Huntress Security研究人员披露黑客正利用SolarWinds Web Help Desk(WHD)漏洞部署合法工具实施恶意攻击。攻击者针对至少三个组织,通过CVE-2025-40551和CVE-2025-26399两个高危漏洞获取初始访问权限,随后从Catbox平台下载MSI文件安装Zoho ManageEngine Assist代理,配置无人值守访问并将受感染主机注册至匿名Proton Mail关联的Zoho账户。该工具被用于直接键盘操作、AD侦察及部署Velociraptor,后者从Supabase存储桶获取,作为C2框架通过Cloudflare Workers与攻击者通信。攻击链显示,威胁行为者采用多手段维持持久化:部署过时Velociraptor 0.73.4版、安装Cloudflared建立C2冗余隧道、通过计划任务TPMProfiler结合QEMU开启SSH后门,并修改注册表禁用Windows Defender及防火墙以规避检测。研究人员观察到攻击者短暂禁用Defender后下载VS Code新副本,确保后续载荷顺利执行。
https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/
2. SmarterTools遭Warlock勒索软件攻击
2月9日,近日,SmarterTools公司遭遇Warlock勒索软件团伙网络攻击,起因系员工部署的未更新SmarterMail虚拟机(VM)存在CVE-2026-23760身份验证绕过漏洞。该漏洞允许攻击者重置管理员密码并获取完全权限,进而通过Active Directory横向渗透至12台Windows服务器及辅助数据中心。尽管公司Linux服务器未受波及,且Sentinel One安全产品成功拦截最终加密载荷,受影响系统已隔离并从备份恢复,但此次事件仍暴露出严重安全风险。据首席商务官德里克·柯蒂斯透露,公司网络中约30台SmarterMail服务器/虚拟机中存在单点漏洞,攻击者利用此缺口部署Velociraptor、SimpleHelp及存在漏洞的WinRAR版本,结合启动项与计划任务实现持久化。Cisco Talos此前已报告Velociraptor被滥用于勒索软件攻击的案例,而此次攻击中,Warlock团伙更通过SmarterMail内置的“卷挂载”功能强化系统控制权。
https://www.bleepingcomputer.com/news/security/hackers-breach-smartertools-network-using-flaw-in-its-own-software/
3. BeyondTrust修复高危CVE-2026-1731漏洞
2月9日,BeyondTrust发布紧急安全更新,修复影响远程支持(RS)及特权远程访问(PRA)产品的高危漏洞CVE-2026-1731。该漏洞被归类为操作系统命令注入漏洞,CVSS评分高达9.9,允许未经身份验证的远程攻击者通过发送精心构造的请求,在网站用户上下文中执行操作系统命令,进而导致远程代码执行、未授权访问、数据泄露及服务中断。BeyondTrust强调,自托管客户若未启用自动更新,需手动应用补丁;运行低于21.3版本的RS或低于22.1版本的PRA用户需先升级至兼容版本再打补丁。该漏洞由安全研究员Harsh Jaiswal于2026年1月31日通过AI驱动的变种分析发现。据其披露,全球约11,000个BeyondTrust实例暴露于互联网,其中8,500个为本地部署,若未及时打补丁,仍存在严重安全风险。目前,漏洞细节尚未完全公开,以留出用户升级时间。
https://thehackernews.com/2026/02/beyondtrust-fixes-critical-pre-auth-rce.html
4. Phorpiex传播Global Group勒索软件钓鱼新手法
2月9日,Forcepoint X-Labs研究人员发现一起利用Phorpiex恶意软件传播Global Group勒索软件的大规模网络钓鱼活动。该攻击通过伪装成“Document.doc”的Windows快捷方式文件(.lnk)实施,利用双扩展名欺骗用户点击,实际文件为.lnk格式,但Windows默认隐藏最后扩展名,导致用户误认为是普通Word文档。攻击链始于钓鱼邮件,主题多为“您的文档”以引发用户好奇或担忧。点击.lnk文件后,攻击者采用“借力打力”(Living off the Land,LotL)技术,劫持系统自带工具如PowerShell和命令提示符执行恶意命令,下载并运行伪装成系统组件(如windrv.exe)的病毒。Global Group勒索软件作为Mamona的升级版,其核心威胁在于“静默”模式:所有操作均在本地完成,无需连接外部服务器获取加密密钥,主机自身生成密钥后直接加密文件,支持离线状态下锁定数据。该勒索软件采用ChaCha20-Poly1305加密算法,无数字密钥时文件几乎无法恢复。
https://hackread.com/hackers-global-group-ransomware-offline-phishing-emails/
5. 欧盟委员会中央移动设备管理系统遭网络攻击
2月9日,欧盟委员会检测到中央移动设备管理(MDM)系统1月30日遭网络攻击,可能泄露员工姓名、电话号码等个人信息,但实际手持设备未被入侵。此次攻击恰逢Ivanti公司披露其Endpoint Manager Mobile(EPMM)软件存在CVE-2026-1281、CVE-2026-1340两个高危代码注入漏洞次日,这些漏洞允许黑客绕过认证远程控制服务器。委员会在发现攻击后9小时内完成系统安全加固与清理,但事件仍引发对Ivanti补丁策略的质疑。安全专家David Neeson指出,Ivanti未提供完整修复方案,仅发布临时补丁,且补丁因版本适配问题存在失效风险,这种"碎片化修复"可能带来比全面更新更大的安全隐患。据悉,Ivanti计划在未来数月开发全面修复,并推出RPM检测工具辅助漏洞排查。欧盟委员会承诺全面审查事件,强化CERT-EU等机构24小时威胁监控能力。
https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/
6. dYdX供应链遭新型跨语言恶意包攻击
2月6日,网络安全研究人员披露npm和PyPI仓库中dYdX相关合法包遭供应链攻击:@dydxprotocol/v4-client-js(npm)3.4.1等版本及dydx-v4-client(PyPI)1.1.5post1版本被植入恶意代码。这些包用于dYdX v4协议的加密货币交易、钱包管理等高敏感操作,累计交易量超1.5万亿美元。攻击者通过盗用开发者账户推送恶意更新,npm包含钱包窃取器,可窃取助记词及设备信息;PyPI包额外植入远程访问木马(RAT),连接外部服务器获取指令,Windows系统下通过“CREATE_NO_WINDOW”标记隐匿执行。恶意代码被植入核心文件,在包正常使用时触发,PyPI版本采用100轮混淆处理,跨生态系统攻击协同性表明攻击者直接获取发布基础设施访问权。dYdX在X平台确认事件,建议用户隔离设备、转移资产至新钱包、更换API密钥及凭证。
https://thehackernews.com/2026/02/compromised-dydx-npm-and-pypi-packages.html
京公网安备11010802024551号