SolarWinds Web Help Desk 遭利用發動多階段攻擊，疑與 Warlock 勒索軟體集團有關

2026 / 02 / 15

編輯部

SolarWinds Web Help Desk 遭利用發動多階段攻擊，疑與 Warlock 勒索軟體集團有關

微軟近日揭露一起針對 SolarWinds Web Help Desk（WHD）的多階段入侵事件。攻擊者鎖定暴露於網路的 WHD 實例，取得初始存取權限後，橫向移動至高價值資產，造成嚴重的網路安全威脅。

漏洞背景：三個高危 CVE 交疊

本次攻擊發生於 2025 年 12 月。微軟 Defender 安全研究團隊指出，目前無法確認攻擊者利用了哪個漏洞取得初始立足點。受害機器同時存在新舊兩組漏洞，包括近期揭露的 CVE-2025-40551(CVSS 9.8)與 CVE-2025-40536(CVSS 8.1)，以及先前已修補的 CVE-2025-26399(CVSS 9.8)。

CVE-2025-40536 是安全控制繞過漏洞，允許未經驗證的攻擊者存取特定受限功能。CVE-2025-40551 與 CVE-2025-26399 則為不受信任資料反序列化（untrusted data deserialization）漏洞，可直接導致遠端程式碼執行（RCE）。美國網路安全暨基礎設施安全局（CISA）已將 CVE-2025-40551 列入已知遭利用漏洞（KEV）目錄，要求聯邦民事行政部門（FCEB）機關於 2026 年 2 月 6 日前完成修補。

攻擊鏈拆解：從 RCE 到網域全面淪陷

成功利用漏洞後，攻擊者取得對 WHD 服務的遠端程式碼執行能力，可在應用程式環境中執行任意指令。受入侵的 WHD 服務隨即啟動 PowerShell 程序，透過 BITS（背景智慧型傳輸服務，Background Intelligent Transfer Service）下載並執行後續惡意酬載。

研究人員指出，攻擊者下載合法的 Zoho ManageEngine 元件（一款正規的遠端監控與管理 RMM 工具）這個後續攻擊行為，可藉此對受害系統建立持續性遠端控制。

在持久化（persistence）階段，攻擊者建立反向 SSH 與 RDP 存取通道，並嘗試建立排程工作，於系統啟動時以 SYSTEM 帳號啟動 QEMU 虛擬機器。攻擊者一方面透過虛擬化環境掩蓋行蹤，另一方面利用連接埠轉發暴露 SSH 存取通道。

在憑證竊取方面，攻擊者針對部分主機使用 DLL 側載（DLL side-loading）技術，利用合法的系統執行檔 wab.exe 載入惡意 DLL sspicli.dll，傾印 LSASS 記憶體內容以竊取憑證。在至少一起案例中，攻擊者進一步發動 DCSync 攻擊。他們透過模擬網域控制器，向 Active Directory 資料庫請求密碼雜湊值及其他敏感資訊，最終導致整個網域完全淪陷。

Huntress 調查：同一威脅行為者再度出手

2026 年 2 月 8 日，資安公司 Huntress 發布報告，揭露另一起發生於 2 月 7 日的 WHD 入侵事件，攻擊手法更加複雜。

攻擊者透過 WHD 漏洞取得初始存取後，隨即安裝 Zoho ManageEngine RMM 的遠端 MSI 酬載，並設定 Zoho Assist 代理程式以無人值守方式運作，將受害主機綁定至一個以 Proton Mail 地址（esmahyft@proton[.]me）註冊的帳號，接著執行 Active Directory 探索指令進行偵察。

值得注意的是，攻擊者透過 Zoho Assist 遠端連線工作階段部署合法的數位鑑識暨事件應變（DFIR）工具 Velociraptor 0.73.4，但該版本存在已知的權限提升漏洞 CVE-2025-6264。攻擊者利用 Velociraptor 代理程式執行 PowerShell 指令，確認 code.exe（Visual Studio Code 執行檔）是否存在，疑似企圖建立遠端通道。

為確保多重持久性，攻擊者同時安裝 Cloudflared(Cloudflare 通道工具)建立備援存取通道，並執行 PowerShell 腳本收集完整系統資訊後直接傳送至攻擊者控制的 Elastic Cloud 執行個體。此外，攻擊者透過修改登錄檔停用 Windows Defender 與 Windows 防火牆，並建立 C2 容錯移轉機制。當原始的 Cloudflare workers[.]dev 網域被偵測到時，Velociraptor 會自動切換連線至備援伺服器 v2-api.mooo[.]com。切換判斷依據為伺服器是否回傳 HTTP 406 Not Acceptable 狀態碼。

Huntress 研究人員發現，Velociraptor 伺服器使用的 Cloudflare Worker 帳號識別碼 qgtxtebl，與過去涉及 ToolShell 漏洞利用及 Warlock 勒索軟體部署的攻擊活動高度重疊。Huntress 對抗戰術總監 Jamie Levy 表示，此次攻擊與 Warlock 勒索軟體集團有明顯關聯，除了工具與戰術相同，基礎設施也重複使用，且已有客戶遭入侵後確實被勒索，進一步證實了這項判斷。