Внимание за всички, които използват RVTools – популярен безплатен инструмент за анализ на VMware среди. Зловредна кампания използва SEO манипулация, за да позиционира уебсайтове, предлагащи компрометирана версия на RVTools, съдържаща троянския malware loader Bumblebee. Потенциалната цел: администратори и системни инженери, работещи с виртуализация и VMware инфраструктура.
Кампанията е класически пример за SEO poisoning (отравяне на резултатите в търсачките), при което престъпниците създават уеб страници, имитиращи легитимни софтуерни портали. Те са оптимизирани да се класират високо в Google при търсене на ключови думи като „download RVTools“. Жертвите, мислейки че теглят официалния инструмент, изтеглят ISO файл, в който вместо RVTools има dropper, инсталиращ Bumblebee malware във фонов режим.
Bumblebee е добре познат в киберсигурност общността като модулен loader, използван в атаки с рансъмуер и достъп от различни хакерски групи, включително FIN12 и Conti. Той позволява на атакуващите да събират данни за машината, да се движат странично в мрежата и да зареждат допълнителен зловреден софтуер – включително Cobalt Strike, Meterpreter и други инструменти за постексплоатация.
От особен риск са среди, в които RVTools се използва директно върху администраторски станции с достъп до vCenter, ESXi хостове или други чувствителни инфраструктурни компоненти. Подобна атака може лесно да компрометира цели клъстери, особено ако няма сегментиране или ограничено RBAC.
Препоръчително е да се валидира целостта на всеки инсталационен файл чрез официалния сайт (robware.net) и хеш проверка. Също така, да се използват EDR/AV решения с възможност за разпознаване на поведение на loaders като Bumblebee. Ако вече сте инсталирали RVTools от неофициален източник през последните седмици, извършете незабавна проверка за аномално поведение и lateral movement в мрежата.
