C
月内に
攻撃者が防御回避のためにQEMUエミュレータを悪用し、リバースSSHバックドアを構築してランサムウェアやリモートアクセスツールを配備していること
📌 一言でいうと
攻撃者が防御回避のためにQEMUエミュレータを悪用し、リバースSSHバックドアを構築してランサムウェアやリモートアクセスツールを配備していることが判明しました。初期侵入にはMFA未設定のSonicWall VPNや、SolarWinds Web Help Deskの脆弱性(CVE-2025-26399)が利用されています。攻撃者はシステム権限でQEMU VMを起動するスケジュール済みタスクを作成し、永続性を確保して認証情報の窃取やペイロードの配信を行っています。
🏢影響範囲
SolarWinds Web Help DeskおよびSonicWall VPNを利用している組織、および仮想化ソフトウェアの監視が不十分な環境。
✅該当時の対応
SolarWinds Web Help Deskを最新バージョンに更新し、CVE-2025-26399を修正すること。VPNへの多要素認証(MFA)を強制し、不審なスケジュール済みタスクやQEMUなどのエミュレータの予期せぬ実行を監視すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】SolarWinds Web Help Deskの脆弱性悪用およびQEMUによる攻撃について
お疲れさまです。標記の件に関する情報共有です。
■ 概要
攻撃グループ「STAC4713」が、SolarWinds Web Help DeskのRCE脆弱性(CVE-2025-26399)やMFA未設定のVPNを悪用し、内部ネットワークへ侵入する事例が報告されています。特筆すべき点として、防御回避のためにQEMUエミュレータを悪用し、システム権限でリバースSSHバックドアを構築して永続性を確保し、ランサムウェア等の配備を行う手法が確認されています。
■ 影響範囲
- SolarWinds Web Help Desk(CVE-2025-26399の影響を受けるバージョン)
- MFAが導入されていないSonicWall VPN環境
- QEMU等の仮想化ソフトウェアが許可されており、監視が不十分なサーバー環境
■ 対応手順
1. SolarWinds Web Help Deskを最新バージョンに更新し、CVE-2025-26399を修正してください。
2. SonicWall VPNを含むすべての外部アクセス経路において、多要素認証(MFA)を強制してください。
3. システム権限で実行されている不審なスケジュール済みタスクや、予期せぬQEMUプロセスの起動がないかログを確認してください。
■ 参考情報
- Sophos Security Report / SecurityWeek
対応優先度: 高(速やかな対応を推奨)
お疲れさまです。標記の件に関する情報共有です。
■ 概要
攻撃グループ「STAC4713」が、SolarWinds Web Help DeskのRCE脆弱性(CVE-2025-26399)やMFA未設定のVPNを悪用し、内部ネットワークへ侵入する事例が報告されています。特筆すべき点として、防御回避のためにQEMUエミュレータを悪用し、システム権限でリバースSSHバックドアを構築して永続性を確保し、ランサムウェア等の配備を行う手法が確認されています。
■ 影響範囲
- SolarWinds Web Help Desk(CVE-2025-26399の影響を受けるバージョン)
- MFAが導入されていないSonicWall VPN環境
- QEMU等の仮想化ソフトウェアが許可されており、監視が不十分なサーバー環境
■ 対応手順
1. SolarWinds Web Help Deskを最新バージョンに更新し、CVE-2025-26399を修正してください。
2. SonicWall VPNを含むすべての外部アクセス経路において、多要素認証(MFA)を強制してください。
3. システム権限で実行されている不審なスケジュール済みタスクや、予期せぬQEMUプロセスの起動がないかログを確認してください。
■ 参考情報
- Sophos Security Report / SecurityWeek
対応優先度: 高(速やかな対応を推奨)
Subject: [Security Advisory] Abuse of QEMU for Defense Evasion and CVE-2025-26399
Hi all,
This is a security alert regarding a campaign by threat actor STAC4713.
■ Overview
Threat actors are exploiting a remote code execution (RCE) vulnerability in SolarWinds Web Help Desk (CVE-2025-26399) and exposed SonicWall VPNs lacking MFA to gain initial access. Once inside, they deploy QEMU as a covert reverse SSH backdoor with System privileges to establish persistence and deliver ransomware or remote access tools, effectively evading traditional security detections.
■ Scope
- SolarWinds Web Help Desk (versions vulnerable to CVE-2025-26399)
- SonicWall VPN instances without MFA
- Environments where QEMU or similar emulators are running without strict monitoring
■ Recommended Actions
1. Promptly update SolarWinds Web Help Desk to the latest patched version to remediate CVE-2025-26399.
2. Enforce Multi-Factor Authentication (MFA) across all VPN and external access gateways.
3. Audit scheduled tasks and process logs for unauthorized QEMU executions or suspicious reverse SSH tunnels running with high privileges.
■ Reference
- Sophos / SecurityWeek
Priority: High (Prompt action is recommended)
Hi all,
This is a security alert regarding a campaign by threat actor STAC4713.
■ Overview
Threat actors are exploiting a remote code execution (RCE) vulnerability in SolarWinds Web Help Desk (CVE-2025-26399) and exposed SonicWall VPNs lacking MFA to gain initial access. Once inside, they deploy QEMU as a covert reverse SSH backdoor with System privileges to establish persistence and deliver ransomware or remote access tools, effectively evading traditional security detections.
■ Scope
- SolarWinds Web Help Desk (versions vulnerable to CVE-2025-26399)
- SonicWall VPN instances without MFA
- Environments where QEMU or similar emulators are running without strict monitoring
■ Recommended Actions
1. Promptly update SolarWinds Web Help Desk to the latest patched version to remediate CVE-2025-26399.
2. Enforce Multi-Factor Authentication (MFA) across all VPN and external access gateways.
3. Audit scheduled tasks and process logs for unauthorized QEMU executions or suspicious reverse SSH tunnels running with high privileges.
■ Reference
- Sophos / SecurityWeek
Priority: High (Prompt action is recommended)