RVTools在供应链攻击中被迫分发Bumblebee恶意软件

近期，RVTools VMware管理工具遭遇供应链攻击，官方网站被关闭，攻击中分发了一个被木马化的安装程序，以在用户的机器上放置Bumblebee恶意软件加载程序。

随后，官方RVTools网站“rvtools.com”和“robware.net”现在显示了一条通知，表示Robware.net和RVTools.com目前处于离线状态，提醒用户请勿从任何其他网站或来源搜索或下载所谓的RVTools软件。但消息中没有给出下载门户何时会重新上线的估计时间。

robware.net和rvtools.com上的公告

RVTool供应链攻击

RVTools最初由Robware开发，现在归Dell所有，是一个Windows实用程序，为VMware vSphere环境提供全面的库存和运行状况报告。

RVTools被广泛认为是VMware管理员的必备工具，VMware自己的Virtual Blocks Blog也将其视为vSphere管理的顶级实用工具。

零日实验室的研究员Aidan Leon首先发现了供应链攻击，他警告说，官方的RVTools安装程序[VirusTotal]试图执行一个恶意版本。dll [VirusTotal]，该版本被检测为Bumblebee恶意软件加载程序。

进一步调查发现，RVTools网站上列出的文件哈希值与实际下载的文件不匹配。下载的版本明显更大，包含version.dll；旧版本的RVTools不包含此文件，并且正确匹配其发布的散列。

在VirusTotal提交后大约一个小时，公众提交的数量从4个上升到16个。大约在同一时间，RVTools网站暂时下线。当它重新上线时，下载的文件发生了变化：文件大小变小了，哈希值现在与网站上列出的干净版本相匹配。

Bumblebee是一种恶意软件加载器，通常通过SEO中毒，恶意广告和网络钓鱼攻击来推广。安装后，恶意软件会下载并在受感染的设备上执行额外的有效载荷，例如Cobalt Strike信标、信息窃取器和勒索软件。

该恶意软件与Conti勒索软件行动有关，Conti利用该恶意软件获得了企业网络的初始访问权限。虽然Conti勒索软件行动于2022年关闭，但其许多成员分裂成其他勒索软件行动，包括Black Basta， Royal， Silent Ransom等，他们可能仍然可以访问这些工具。

网络安全公司Arctic Wolf也报告称，通过恶意输入域名传播木马RVTools安装程序，可能通过SEO中毒或恶意广告进行推广。

Arctic Wolf最近观察到一个木马化的RVTools安装程序通过一个恶意输入的域名进行分发。该域名与合法域名匹配，但顶级域名（TLD）从.com更改为.org。RVTools是一款广泛使用的VMware工具，由Robware开发，用于库存和配置报告。

最近，还有其他关于搜索引擎优化中毒和针对RVTools品牌的恶意广告活动的报道，以诱骗人们下载恶意的木马安装程序。

如果从这些域名下载了软件，其设备很有可能感染了Bumblebee恶意软件，并可能感染了额外的有效载荷。

由于恶意软件被威胁者用于在企业网络中获得 foothold，如果检测到恶意软件，人们应进行彻底调查以确定其他设备是否被攻破是至关重要的。除非验证其哈希值，否则不要从非官方来源下载并执行声称提供安全、干净版本的RVTools安装程序。