更新:以下にデルの声明を追加。
マルウェアローダ「Bumblebee」をユーザのマシンにインストールするためのトロイの木馬化インストーラを配布するサプライチェーン攻撃と思われる攻撃により、VMware管理ツール「RVTools」の公式ウェブサイトがオフラインになりました。
本稿執筆時点では、RVToolsの公式サイトである「rvtools.com」と「robware.net」には、他のソースからツールをダウンロードするリスクについて警告する通知が表示されている。このメッセージには、ダウンロードポータルがオンラインに戻る時期の予想は示されていない。
“robware.netとRVTools.comは現在オフラインです。サービス復旧のため迅速に作業しておりますので、ご理解のほどよろしくお願いいたします。
“Robware.netとRVTools.comはRVToolsソフトウェアの唯一の正規サポートウェブサイトです。他のウェブサイトや情報源からRVToolsソフトウェアと称するものを検索したりダウンロードしたりしないでください。”
出典:.com
RVToolsサプライチェーン攻撃
RVTools は、当初 Robware 社によって開発され、現在は Dell 社が所有している Windows 用ユーティリティで、VMware vSphere 環境の包括的なインベントリおよび健全性レポートを提供します。
RVToolsは、VMware管理者にとって不可欠なツールとして広く認知されており、VMware自身のVirtual Blocks Blogでは、vSphere管理のためのトップ・ユーティリティとして評価されています。
このサプライチェーン攻撃は、ZeroDay Labsの研究者であるAidan Leon氏によって最初に発見され、RVToolsの公式インストーラ[VirusTotal]が、Bumblebeeマルウェアローダとして検出された悪意のあるversion.dll[VirusTotal]を実行しようとすることを警告しました。
「さらに調査を進めると、RVToolsのウェブサイトに記載されているファイルハッシュと、実際にダウンロードされたファイルとの間に不一致があることが判明しました。
「ダウンロードされたバージョンはかなり大きく、悪意のあるバージョン.dllが含まれていました。RVToolsの古いバージョンにはこのファイルは含まれておらず、公開されているハッシュと正しく一致していました。
“私たちがVirusTotalに投稿した約1時間後、公開された数は4件から16件に増加しました。同じ頃、RVToolsのウェブサイトが一時的にオフラインになりました。オンラインに戻ると、ダウンロードの内容が変わっていました。ファイルサイズが小さくなり、ハッシュ値がサイトに掲載されているクリーンバージョンと一致していました。
Bumblebeeはマルウェア・ローダーで、通常、SEOポイズニング、不正広告、フィッシング攻撃によって宣伝されます。このマルウェアがインストールされると、感染したデバイス上でCobalt Strikeビーコン、情報窃取ツール、ランサムウェアなどの追加のペイロードをダウンロードして実行します。
このマルウェアは、企業ネットワークへの最初のアクセスを得るためにマルウェアを使用したContiランサムウェアの操作と関連している。Contiランサムウェア・オペレーションは2022年に閉鎖されたが、そのメンバーの多くは、Black Basta、Royal、Silent Ransom、その他を含む他のランサムウェア・オペレーションに分かれ、彼らはまだそのツールにアクセスしている可能性が高い。
サイバーセキュリティ会社のArctic Wolfも、トロイの木馬化されたRVToolsのインストーラーが悪意のあるtyposquattドメインを通じて配布されているのを目撃したと報告している。
「Arctic Wolfは最近、トロイの木馬化されたRVToolsインストーラーが悪意のあるtyposquattedドメイン経由で配布されているのを確認しました。
「このドメインは正規のドメインと一致しますが、トップレベルドメイン(TLD)が.comから.orgに変更されています。RVToolsは、Robwareによって開発された、インベントリとコンフィギュレーションレポートのための広く使用されているVMwareユーティリティです。”
最近、RVToolsブランドを標的としたSEOポイズニングや不正広告キャンペーンが報告されており、悪意のあるトロイの木馬化されたインストーラをダウンロードさせるよう人々を騙しています。
これらのドメインからソフトウェアをダウンロードした場合、お使いのデバイスがマルウェアBumblebeeに感染している可能性が高く、さらにペイロードが追加されている可能性もあります。
このマルウェアは、脅威行為者が企業ネットワークへの足がかりを得るために使用するものであるため、検出された場合は、他のデバイスが侵害されていないかどうかを判断するために完全な調査を行うことが極めて重要です。
ハッシュ値を確認しない限り、安全/クリーンバージョンを提供すると主張する非公式なソースからRVToolsのインストーラをダウンロードして実行しないでください。
更新 5/20/25 4:40 PM EST:この攻撃に関する我々の質問に対し、デルは、悪意のあるRVToolsインストーラは正規のサイトではなく、偽のサイトから配布されたと述べています。また、デルが管理しているRobware.netとRVTools.comはDDoS攻撃を受けているため、ダウンさせたとしています。
“デル・テクノロジーズは、RVToolsソフトウェアを配布するために2つのウェブサイトを運営しています:Robware.netとRVTools.comです。私たちは、RVToolsソフトウェアの悪意のあるバージョンがこれらのウェブサイトで利用可能であったという報告を認識しています。当社の調査では、これらのウェブサイトやそこでダウンロード可能なソフトウェアの侵害を示唆する兆候は確認されていません。”
“私たちは、マルウェアを配布している可能性のある、私たちのウェブサイトを模倣するように設計された偽のウェブサイトを確認しました。当社の正規のウェブサイトであるRobware.netとRVTools.comは、最近サービス拒否(DOS)攻撃の対象となっています。予防措置として、これらのサイトを一時的に無効にしました。”
“RVToolsソフトウェアについては、デルが管理しているサイトはRobware.netとRVTools.comのみです。お客様は、RVToolsソフトウェアと称するものを他のウェブサイトやソースから検索したりダウンロードしたりしないでください。”
これは、ZeroDay Labsの研究者Aidan Leon’sがRedditに投稿した、ファイルがRVToolsのウェブサイトから直接ダウンロードされたという内容と矛盾する。
“私は、それが正式に侵害された時期についていくつかの答えが混在している。レオン氏はTrippyyMuffinという別名でRedditに投稿した。
「ほとんどの場合、SEOポイズニングに気づかない不運な人がいるだけだが、今回は実際のウェブサイトが侵害された。私は月曜日(5/12)に直接それに気づいた。火曜日の午後、ウェブサイトはダウンし、オンラインに戻り、悪意のあるファイルは安全なものに置き換えられました。”
「今現在、ウェブサイトは再びオフラインになっている。それがRVToolsに有利なものであり、その逆でないことを祈る。”
sent Dellは研究者の主張についてさらに質問したが、現時点では回答は得られていない。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments