Ο επίσημος ιστότοπος για το εργαλείο διαχείρισης VMware RVTools μεταφέρθηκε εκτός σύνδεσης σε αυτό που φαίνεται να είναι μια επίθεση εφοδιαστικής αλυσίδας που διανέμει ένα trojanized εγκαταστάτη για να αποβάλει τον φορτωτή κακόβουλου λογισμικού Bumblebee σε μηχανές χρηστών.
Κατά τη στιγμή της γραφής, οι επίσημες ιστοσελίδες RVTools στο ‘rvtools.com’ και ‘robware.net’ παρουσιάζουν τώρα μια προειδοποίηση προειδοποίησης σχετικά με τους κινδύνους λήψης του εργαλείου από άλλες πηγές. Το μήνυμα δεν δίνει καμία εκτίμηση για το πότε οι πύλες λήψης θα επιστρέψουν στο διαδίκτυο.
“Το Robware.net και το rvtools.com είναι επί του παρόντος εκτός σύνδεσης. Εργαζόμαστε γρήγορα για να αποκαταστήσουμε την εξυπηρέτηση και να εκτιμήσουμε την υπομονή σας”, αναφέρει η ειδοποίηση του ιστότοπου.
“Robware.net και rvtools.com είναι το μόνο Εξουσιοδοτημένες και υποστηριζόμενες ιστοσελίδες για λογισμικό RVTools. Μην αναζητήσετε ή κατεβάσετε το λογισμικό RVTools από οποιονδήποτε άλλο ιστότοπο ή πηγές. “
Πηγή: bleepingcomputer.com
Επίθεση αλυσίδας εφοδιασμού Rvtool
Το RVTools, που αναπτύχθηκε αρχικά από το Robware και τώρα ανήκει στην Dell, είναι ένα βοηθητικό πρόγραμμα Windows που παρέχει ολοκληρωμένη αναφορά αποθέματος και υγείας για περιβάλλοντα VMware vSphere.
Το RVTools θεωρείται ευρέως ως ένα βασικό εργαλείο για τους διαχειριστές VMware και το blog του VMware Virtual Blocks το έχει αναγνωρίσει ως κορυφαία χρησιμότητα για τη διαχείριση vSphere.
Η επίθεση της εφοδιαστικής αλυσίδας ανακαλύφθηκε για πρώτη φορά από τον ερευνητή του Zeroday Labs Aidan Leon, ο οποίος προειδοποίησε ότι ο επίσημος εγκαταστάτης RVTools [VirusTotal] Προσπάθησε να εκτελέσει μια κακόβουλη έκδοση.dll [VirusTotal] Αυτό ανιχνεύθηκε ως ο φορτωτής κακόβουλου λογισμικού Bumblebee.
“Η περαιτέρω έρευνα αποκάλυψε μια αναντιστοιχία μεταξύ του κατακερματισμού αρχείων που αναγράφεται στον ιστότοπο RVTools και του πραγματικού αρχείου που λήφθηκε”. εξηγεί ο Λεόν.
“Η λήψη της έκδοσης ήταν σημαντικά μεγαλύτερη και περιείχε την κακόβουλη έκδοση.
“Περίπου μία ώρα μετά την υποβολή μας, ο αριθμός των δημόσιων υποβολών αυξήθηκε από 4 σε 16. Την ίδια στιγμή, ο ιστότοπος RVTools πήγε προσωρινά εκτός σύνδεσης.
Το Bumblebee είναι ένας φορτωτής κακόβουλου λογισμικού που συνήθως προωθείται μέσω επιθέσεων δηλητηρίασης SEO, Malvertising και phishing. Όταν είναι εγκατεστημένο, το κακόβουλο λογισμικό κατεβάζει και εκτελεί πρόσθετα ωφέλιμα φορτία σε μολυσμένες συσκευές, όπως ο Beacons Cobalt Strike, οι κλέφτες πληροφοριών και το ransomware.
Το κακόβουλο λογισμικό έχει συνδεθεί με τη λειτουργία ransomware conti, ο οποίος χρησιμοποίησε το κακόβουλο λογισμικό για να αποκτήσει αρχική πρόσβαση σε εταιρικά δίκτυα. Ενώ η λειτουργία Conti Ransomware έκλεισε το 2022, πολλά από τα μέλη της χωρίζονται σε άλλες λειτουργίες ransomware, συμπεριλαμβανομένων των Black Basta, Royal, Silent Ransom και άλλων, οι οποίοι πιθανότατα έχουν ακόμα πρόσβαση στα εργαλεία.
Η εταιρεία Cybersecurity Arctic Wolf αναφέρει επίσης ότι βλέπουν τους εγκαταστάτες RVTools που διανέμονται μέσω κακόβουλων τμημάτων τυποποιημένων τομέων, πιθανόν να προωθούνται μέσω δηλητηρίασης SEO ή Malvertising.
“Ο Arctic Wolf έχει παρατηρήσει πρόσφατα τη διανομή ενός trojanized rvtools εγκαταστάτη μέσω ενός κακόβουλου τμηματικού τομέα”. Διαβάζει την αναφορά της Αρκτικής Wolf.
“Ο τομέας ταιριάζει με τον νόμιμο τομέα, ωστόσο, ο τομέας του ανώτατου επιπέδου (TLD) αλλάζει από το .com σε .org.
Πρόσφατα, υπήρξαν και άλλες αναφορές για εκστρατείες δηλητηρίασης και κακομεταχείρισης SEO που στοχεύουν τη μάρκα RVTools για να ξεγελάσουν τους ανθρώπους στη λήψη κακόβουλων εγκαταστάσεων.
Εάν έχετε κατεβάσει το λογισμικό από αυτούς τους τομείς, υπάρχει μια καλή πιθανότητα η συσκευή σας να μολυνθεί με το κακόβουλο λογισμικό Bumblebee και ενδεχομένως πρόσθετα ωφέλιμα φορτία.
Καθώς το κακόβουλο λογισμικό χρησιμοποιείται από τους ηθοποιούς απειλής για να κερδίσει ένα πόδι σε εταιρικά δίκτυα, εάν ανιχνευθεί, είναι ζωτικής σημασίας να διεξάγεται πλήρης έρευνα για να διαπιστωθεί εάν άλλες συσκευές διακυβεύονται.
Μην κατεβάζετε και εκτελείτε εγκαταστάτες rvtools από ανεπίσημες πηγές που ισχυρίζονται ότι προσφέρουν μια ασφαλή/καθαρή έκδοση, εκτός αν επαληθεύστε το κατακερματισμό του.
Ο BleepingComputer ήρθε σε επαφή με την Dell, τον ιδιοκτήτη της RVTools, για να μάθει περισσότερα για την επίθεση και θα ενημερώσει αυτήν την ιστορία εάν λάβουμε μια απάντηση.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
