SolarWinds WHD缝隙被用于部署多阶段网络攻击链

首页 > 安全钻研 > 安全传递 > 安全简讯

SolarWinds WHD缝隙被用于部署多阶段网络攻击链

颁布功夫 2026-02-10

1. SolarWinds WHD缝隙被用于部署多阶段网络攻击链

2月9日，Huntress Security钻研人员披露黑客正利用SolarWinds Web Help Desk（WHD）缝隙部署合法工具执行恶意攻击。攻击者针对至少三个组织，通过CVE-2025-40551和CVE-2025-26399两个高危缝隙获取初始接见权限，随后从Catbox平台下载MSI文件装置Zoho ManageEngine Assist代理，配置无人值守接见并将受习染主机注册至匿名Proton Mail关联的Zoho账户。该工具被用于直接键盘操作、AD窥伺及部署Velociraptor，后者从Supabase存储桶获取，作为C2框架通过Cloudflare Workers与攻击者通讯。攻击链显示，威胁行为者选取多伎俩维持悠久化：部署过期Velociraptor 0.73.4版、装置Cloudflared成立C2冗余隧路、通过打算工作TPMProfiler结合QEMU开启SSH后门，并批改注册表禁用Windows Defender及防火墙以躲避检测。钻研人员观察到攻击者短暂禁用Defender后下载VS Code新副本，确保后续载荷顺利执行。

https://www.bleepingcomputer.com/news/security/threat-actors-exploit-solarwinds-wdh-flaws-to-deploy-velociraptor/

2. SmarterTools遭Warlock勒索软件攻击

2月9日，近日，SmarterTools公司遭逢Warlock勒索软件团伙网络攻击，起因系员工部署的未更新SmarterMail虚构机（VM）存在CVE-2026-23760身份验证绕过缝隙。该缝隙允许攻击者沉置治理员密码并获取齐全权限，进而通过Active Directory横向渗入至12台Windows服务器及辅助数据中心。只管公司Linux服务器未受波及，且Sentinel One安全产品成功拦截最终加密载荷，受影响系统已隔离并从备份复原，但这次事务仍露出出严沉安全风险。据首席商务官德里克·柯蒂斯泄漏，公司网络中约30台SmarterMail服务器/虚构机中存在单点缝隙，攻击者利用此缺口部署Velociraptor、SimpleHelp及存在缝隙的WinRAR版本，结合启动项与打算工作实现悠久化。Cisco Talos此前已汇报Velociraptor被滥用于勒索软件攻击的案例，而这次攻击中，Warlock团伙更通过SmarterMail内置的“卷挂载”职能强化系统节造权。

https://www.bleepingcomputer.com/news/security/hackers-breach-smartertools-network-using-flaw-in-its-own-software/

3. BeyondTrust建复高危CVE-2026-1731缝隙

2月9日，BeyondTrust颁布垂危安全更新，建复影响远程支持（RS）及特权远程接见（PRA）产品的高危缝隙CVE-2026-1731。该缝隙被归类为操作系统号令注入缝隙，CVSS评分高达9.9，允许未经身份验证的远程攻击者通过发送精心机关的要求，在网站用户高低文中执行操作系统号令，进而导致远程代码执杏注未授权接见、数据泄露及服务中断。BeyondTrust强调，自托管客户若未启用自动更新，需手动利用补��；运行低于21.3版本的RS或低于22.1版本的PRA用户需先升级至兼容版本再打补丁。该缝隙由安全钻研员Harsh Jaiswal于2026年1月31日通过AI驱动的变种分析发现。据其披露，全球约11,000个BeyondTrust事俘露出于互联网，其中8,500个为本地部署，若未实时打补丁，仍存在严沉安全风险。目前，缝隙细节尚未齐全公开，以留出用户升级功夫。

https://thehackernews.com/2026/02/beyondtrust-fixes-critical-pre-auth-rce.html

4. Phorpiex传布Global Group勒索软件垂钓新手法

2月9日，Forcepoint X-Labs钻研人员发现一路利用Phorpiex恶意软件传布Global Group勒索软件的大规模网络垂钓活动。该攻击通过假装成“Document.doc”的Windows快捷方式文件（.lnk）执行，利用双扩大名糊弄用户点击，现实文件为.lnk体式，但Windows默认暗藏最后扩大名，导致用户误以为是通常Word文档。攻击链始于垂钓邮件，主题多为“您的文档”以引发用户好奇或忧郁。点击.lnk文件后，攻击者选取“借力打力”（Living off the Land，LotL）技术，劫持系统自带工具如PowerShell和号令提醒符执行恶意号令，下载并运行假装成系统组件（如windrv.exe）的病毒。Global Group勒索软件作为Mamona的升级版，其主题威胁在于“静默”模式：所有操作均在本地实现，无需衔接表部服务器获取加密密钥，主机自身天生密钥后直接加密文件，支持离线状态下锁定数据。该勒索软件选取ChaCha20-Poly1305加密算法，无数字密钥时文件险些无法复原。

https://hackread.com/hackers-global-group-ransomware-offline-phishing-emails/

5. 欧盟委员会中央移动设备治理系统遭网络攻击

2月9日，欧盟委员会检测到中央移动设备治理（MDM）系统1月30日遭网络攻击，可能泄露员工姓名、电话号码等幼我信息，但现实手持设备未被入侵。这次攻击恰逢Ivanti公司披露其Endpoint Manager Mobile（EPMM）软件存在CVE-2026-1281、CVE-2026-1340两个高危代码注入缝隙次日，这些缝隙允许黑客绕过认证远程节造服务器。委员会在发现攻击后9幼时内实现系统安全加固与算帐，但事务仍引发对Ivanti补丁战术的质疑。安全专家David Neeson指出，Ivanti未提供齐全建复规划，仅颁布一时补丁，且补丁因版本适配问题存在失效风险，这种"碎片化建复"可能带来比全面更新更大的安全隐患。据悉，Ivanti打算在将来数月开发全面建复，并推出RPM检测工具辅助缝隙排查。欧盟委员会承诺全面审查事务，强化CERT-EU等机构24幼时威胁监控能力。

https://hackread.com/cyber-attack-european-commission-staff-mobile-systems/

6. dYdX供给链遭新型跨说话恶意包攻击

2月6日，网络安全钻研人员披露npm和PyPI仓库中dYdX有关合法包遭供给链攻击：@dydxprotocol/v4-client-js（npm）3.4.1等版本及dydx-v4-client（PyPI）1.1.5post1版本被植入恶意代码。这些包用于dYdX v4和谈的加密钱币买卖、钱包治理等高敏感操作，累计买卖量超1.5万亿美元。攻击者通过盗用开发者账户推送恶意更新，npm蕴含钱包窃取器，可窃取助记词及设备信息；PyPI包额表植入远程接见木马（RAT），衔接表部服务器获取指令，Windows系统下通过“CREATE_NO_WINDOW”象征隐匿执行。恶意代码被植入主题文件，在包正常使用时触发，PyPI版本选取100轮混合处置，跨生态系统攻击协同性批注攻击者直接获取颁布基础设施接见权。dYdX在X平台确认事务，建议用户隔离设备、转移资产至新钱包、更换API密钥及凭证。

https://thehackernews.com/2026/02/compromised-dydx-npm-and-pypi-packages.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研