ZeroDay Labs的网络安全从业者和威胁分析师Aidan Leon披露了涉及值得信赖的VMware实用程序RVTools的复杂供应链攻击。该漏洞短暂地将流行的IT管理工具转变为恶意软件分发向量,提供Bumblebee加载器的自定义变体 – 一种经常用于勒索软件操作和初始访问活动的臭名昭着的有效载荷。

当Microsoft Defender for Endpoint在一名员工试图安装RVTools后不久标记可疑行为时发现了这一事件。describes正如Leon所描述的那样:“在启动安装程序的瞬间,Defender标记了一个可疑文件:version.dll,它试图从与安装程序本身相同的目录中执行。

这种活动立即被认为是RVTools的非典型活动,促使进行更深入的调查。

可疑文件的哈希被提交给VirusTotal,antivirus其中71个防病毒引擎中有33个检测到它是恶意的。该恶意软件被归类为大黄蜂装载机变体,exploitation以其在提供Cobalt ransomwareStrike等后利用框架和促进勒索软件部署方面的作用而闻名。

“恶意软件似乎是大黄蜂加载器的自定义变体,该加载器以威胁行为者在初始访问场景中使用而闻名。

进一步的元数据增加了一层超现实的混淆,条目如下:

英文名称:Hydrarthrus公司名称: Enlargers pharmakos submatrix产品: 无二矿瑜伽士

描述: 象形无法分组的clyfaker duturalness

莱昂指出,“这些超现实的术语是故意混淆和试图分散注意力……可能暗示’犯罪之神’ – 尽管这仍然是推测性的。

调查证实,RVTools的受损版本包含一个版本。dll在早期的干净版本中不存在。值得注意的是,RVTools网站在发现后不久就下线了,并在返回后开始提供一个较小,干净的文件,其哈希值与官方版本相匹配 – 暂时妥协的有力证据。

“这似乎是暂时的、有针对性的供应链妥协。

ZeroDay Labs迅速采取行动遏制和中和威胁:

对受感染端点进行全防御扫描恶意版本的检疫。dll验证现有的RVTools设施向内部检测小组提交国际奥委会供应商通知