سوءاستفاده از RVTools در حمله زنجیره تأمین برای انتشار بدافزار Bumblebee

سجاد تیموری ارسال به ایمیل 3 روز پیشآخرین بروزرسانی: خرداد ۳, ۱۴۰۴
۰ 2 زمان تقریبی مطالعه 3 دقیقه
سوءاستفاده از RVTools در حمله زنجیره تأمین برای انتشار بدافزار Bumblebee
سوءاستفاده از RVTools در حمله زنجیره تأمین برای انتشار بدافزار Bumblebee

ابزار مدیریتی پرکاربرد RVTools که برای مدیریت محیط‌های مجازی‌سازی VMware مورد استفاده قرار می‌گیرد، در جریان یک حمله زنجیره تأمین (Supply Chain Attack) هدف قرار گرفت. مهاجمان از طریق نسخه آلوده این نرم‌افزار، بدافزار Bumblebee را بر روی سیستم کاربران بارگذاری کرده‌اند.

در زمان نگارش این خبر، وب‌سایت‌های رسمی RVTools به نشانی‌های rvtools.com و robware.net از دسترس خارج شده‌اند و پیامی هشداردهنده در صفحات اصلی آن‌ها نمایش داده می‌شود. این پیام کاربران را از خطرات دانلود این نرم‌افزار از منابع غیررسمی آگاه می‌سازد.

در بخشی از اطلاعیه آمده است:

«وب‌سایت‌های Robware.net و RVTools.com در حال حاضر آفلاین هستند. ما با تمام توان در حال بازیابی سرویس هستیم و از شکیبایی شما سپاسگزاریم.»

«Robware.net و RVTools.com تنها وب‌سایت‌های رسمی و پشتیبانی‌شده برای نرم‌افزار RVTools هستند. لطفاً از جستجو و دانلود نسخه‌های به‌ظاهر مرتبط با RVTools از وب‌سایت‌ها یا منابع دیگر خودداری کنید.»

ابزار RVTools که در ابتدا توسط شرکت Robware توسعه داده شد و اکنون تحت مالکیت شرکت Dell قرار دارد، یک ابزار کاربردی برای سیستم‌عامل Windows است که برای استخراج موجودی (Inventory) و گزارش‌های سلامت از محیط‌های مجازی‌سازی VMware vSphere مورد استفاده قرار می‌گیرد.

این ابزار به‌عنوان یکی از نرم‌افزارهای حیاتی برای مدیران VMware شناخته می‌شود و حتی بلاگ رسمی VMware به نام Virtual Blocks نیز از آن به‌عنوان یکی از برترین ابزارهای مدیریتی برای vSphere نام برده است.

کشف حمله زنجیره تأمین

این حمله نخستین بار توسط محقق شرکت ZeroDay Labs به نام Aidan Leon شناسایی شد. وی هشدار داد که نسخه رسمی نصب‌کننده RVTools که در پلتفرم VirusTotal آپلود شده بود، اقدام به اجرای فایل آلوده‌ای با نام version.dll می‌کرد که به‌عنوان لودر بدافزار Bumblebee شناسایی شده است.

«در بررسی‌های بیشتر، مشخص شد که هش فایل اعلام‌شده در وب‌سایت RVTools با فایل واقعی دانلودشده مطابقت ندارد،» لئون توضیح می‌دهد.
«نسخه دانلودشده به‌طور محسوسی حجیم‌تر بود و فایل آلوده version.dll را در خود داشت. این در حالی است که نسخه‌های قدیمی RVTools فاقد این فایل بودند و هش آن‌ها با مقدار اعلام‌شده در سایت مطابقت داشت.»

وی اضافه می‌کند:

«تقریباً یک ساعت پس از ارسال فایل به VirusTotal، تعداد ارسال‌های عمومی از ۴ به ۱۶ مورد افزایش یافت. در همان بازه زمانی، وب‌سایت RVTools به‌طور موقت آفلاین شد. پس از بازگشت سایت، فایل نصاب تغییر کرده بود: حجم آن کمتر شده و هش آن با نسخه سالم اعلام‌شده مطابقت داشت.»

قابلیت‌ها و تهدیدات بدافزار Bumblebee

بدافزار Bumblebee یک لودر پیشرفته است که معمولاً از طریق SEO poisoning، تبلیغات مخرب (Malvertising) و ایمیل‌های فیشینگ توزیع می‌شود. پس از نصب، این بدافزار می‌تواند بارهای مخرب دیگری مانند Cobalt Strike Beacon، ابزارهای سرقت اطلاعات، یا حتی باج‌افزار را روی سیستم قربانی اجرا کند.

این بدافزار پیش‌تر با عملیات باج‌افزاری Conti مرتبط بوده است. اگرچه فعالیت گروه Conti در سال ۲۰۲۲ متوقف شد، اما بسیاری از اعضای آن به گروه‌های دیگری مانند Black Basta، Royal، Silent Ransom و سایر گروه‌ها پیوسته‌اند و احتمالاً همچنان به این ابزارها دسترسی دارند.

روش‌های توزیع و ترفندهای فریب کاربران

شرکت امنیتی Arctic Wolf نیز گزارش داده که نصب‌کننده‌های آلوده RVTools از طریق دامنه‌های جعلی و مشابه دامنه اصلی (Typosquatting) توزیع شده‌اند. به‌طور خاص، دامنه‌ای که به‌جای پسوند .com، از پسوند .org استفاده کرده است، شناسایی شده است. این روش‌ها اغلب با بهره‌گیری از تکنیک‌های SEO مخرب و تبلیغات فریبنده کاربران را ترغیب به دانلود نسخه‌های آلوده می‌کنند.

همچنین گزارش‌های متعددی مبنی بر افزایش استفاده مهاجمان از کمپین‌های SEO poisoning برای دست‌کاری نتایج جستجو و هدایت کاربران به سمت نصب‌کننده‌های تروجانیزه‌شده RVTools منتشر شده است.

هشدار مهم به کاربران

چنانچه نرم‌افزار RVTools را از منابع غیررسمی یا مشکوک دانلود کرده‌اید، احتمال بالایی وجود دارد که سیستم شما به بدافزار Bumblebee و سایر بارهای مخرب آلوده شده باشد.

در صورت شناسایی این بدافزار در یک دستگاه سازمانی، انجام بررسی جامع برای تعیین وسعت نفوذ و شناسایی سایر دستگاه‌های آلوده کاملاً ضروری است.

اکیداً توصیه می‌شود از دانلود و اجرای فایل‌های نصب RVTools از هر منبعی به‌جز وب‌سایت رسمی آن خودداری کرده و همواره هش فایل‌ها را قبل از نصب، بررسی و اعتبارسنجی کنید.

وضعیت فعلی وب‌سایت رسمی RVTools

در حال حاضر، وب‌سایت‌های رسمی این ابزار به آدرس‌های rvtools.com و robware.net از دسترس خارج شده‌اند و پیامی هشداردهنده به کاربران نمایش می‌دهند. در این پیام آمده است:

«وب‌سایت‌های Robware.net و RVTools.com در حال حاضر آفلاین هستند. ما در حال بازگرداندن سرویس هستیم و از شکیبایی شما سپاسگزاریم.
Robware.net و RVTools.com تنها منابع رسمی و پشتیبانی‌شده برای نرم‌افزار RVTools هستند. لطفاً از جستجو و دانلود نسخه‌های ادعایی RVTools از سایر منابع خودداری کنید.»

 

سجاد تیموری ارسال به ایمیل 3 روز پیشآخرین بروزرسانی: خرداد ۳, ۱۴۰۴
۰ 2 زمان تقریبی مطالعه 3 دقیقه

نوشته های مشابه

آسیب‌پذیری در قالب WordPress با نام Motors امکان تصاحب حساب کاربری مدیر را فراهم می‌کند.

آسیب‌پذیری در قالب WordPress با نام Motors امکان تصاحب حساب کاربری مدیر را فراهم می‌کند.

3 روز پیش
انتشار ابزار ساخت باج‌افزار VanHelsing در یک انجمن هک و امنیت

انتشار ابزار ساخت باج‌افزار VanHelsing در یک انجمن هک و امنیت

3 روز پیش

نفوذ بدافزاری سه‌ساله در SK Telecom باعث افشای اطلاعات ۲۷ میلیون شماره تلفن شد.

3 روز پیش
سوءاستفاده گروه Hazy Hawk از خطاهای پیکربندی DNS برای ربودن دامنه‌های معتبر

سوءاستفاده گروه Hazy Hawk از خطاهای پیکربندی DNS برای ربودن دامنه‌های معتبر

3 روز پیش

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا