近期，RVTools VMware管理工具遭遇供應(yīng)鏈攻擊，官方網(wǎng)站被關(guān)閉，攻擊中分發(fā)了一個(gè)被木馬化的安裝程序，以在用戶的機(jī)器上放置Bumblebee惡意軟件加載程序。

隨后，官方RVTools網(wǎng)站“rvtools.com”和“robware.net”現(xiàn)在顯示了一條通知，表示Robware.net和RVTools.com目前處于離線狀態(tài)，提醒用戶請(qǐng)勿從任何其他網(wǎng)站或來(lái)源搜索或下載所謂的RVTools軟件。但消息中沒(méi)有給出下載門戶何時(shí)會(huì)重新上線的估計(jì)時(shí)間。

robware.net和rvtools.com上的公告

RVTool供應(yīng)鏈攻擊

RVTools最初由Robware開(kāi)發(fā)，現(xiàn)在歸Dell所有，是一個(gè)Windows實(shí)用程序，為VMware vSphere環(huán)境提供全面的庫(kù)存和運(yùn)行狀況報(bào)告。

RVTools被廣泛認(rèn)為是VMware管理員的必備工具，VMware自己的Virtual Blocks Blog也將其視為vSphere管理的頂級(jí)實(shí)用工具。

零日實(shí)驗(yàn)室的研究員Aidan Leon首先發(fā)現(xiàn)了供應(yīng)鏈攻擊，他警告說(shuō)，官方的RVTools安裝程序[VirusTotal]試圖執(zhí)行一個(gè)惡意版本。dll [VirusTotal]，該版本被檢測(cè)為Bumblebee惡意軟件加載程序。

進(jìn)一步調(diào)查發(fā)現(xiàn)，RVTools網(wǎng)站上列出的文件哈希值與實(shí)際下載的文件不匹配。下載的版本明顯更大，包含version.dll；舊版本的RVTools不包含此文件，并且正確匹配其發(fā)布的散列。

在VirusTotal提交后大約一個(gè)小時(shí)，公眾提交的數(shù)量從4個(gè)上升到16個(gè)。大約在同一時(shí)間，RVTools網(wǎng)站暫時(shí)下線。當(dāng)它重新上線時(shí)，下載的文件發(fā)生了變化：文件大小變小了，哈希值現(xiàn)在與網(wǎng)站上列出的干凈版本相匹配。

Bumblebee是一種惡意軟件加載器，通常通過(guò)SEO中毒，惡意廣告和網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)推廣。安裝后，惡意軟件會(huì)下載并在受感染的設(shè)備上執(zhí)行額外的有效載荷，例如Cobalt Strike信標(biāo)、信息竊取器和勒索軟件。

該惡意軟件與Conti勒索軟件行動(dòng)有關(guān)，Conti利用該惡意軟件獲得了企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。雖然Conti勒索軟件行動(dòng)于2022年關(guān)閉，但其許多成員分裂成其他勒索軟件行動(dòng)，包括Black Basta， Royal， Silent Ransom等，他們可能仍然可以訪問(wèn)這些工具。

網(wǎng)絡(luò)安全公司Arctic Wolf也報(bào)告稱，通過(guò)惡意輸入域名傳播木馬RVTools安裝程序，可能通過(guò)SEO中毒或惡意廣告進(jìn)行推廣。

Arctic Wolf最近觀察到一個(gè)木馬化的RVTools安裝程序通過(guò)一個(gè)惡意輸入的域名進(jìn)行分發(fā)。該域名與合法域名匹配，但頂級(jí)域名（TLD）從.com更改為.org。RVTools是一款廣泛使用的VMware工具，由Robware開(kāi)發(fā)，用于庫(kù)存和配置報(bào)告。

最近，還有其他關(guān)于搜索引擎優(yōu)化中毒和針對(duì)RVTools品牌的惡意廣告活動(dòng)的報(bào)道，以誘騙人們下載惡意的木馬安裝程序。

如果從這些域名下載了軟件，其設(shè)備很有可能感染了Bumblebee惡意軟件，并可能感染了額外的有效載荷。

由于惡意軟件被威脅者用于在企業(yè)網(wǎng)絡(luò)中獲得 foothold，如果檢測(cè)到惡意軟件，人們應(yīng)進(jìn)行徹底調(diào)查以確定其他設(shè)備是否被攻破是至關(guān)重要的。除非驗(yàn)證其哈希值，否則不要從非官方來(lái)源下載并執(zhí)行聲稱提供安全、干凈版本的RVTools安裝程序。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/rvtools-hit-in-supply-chain-attack-to-deliver-bumblebee-malware/