HackerNews 编译,转载请注明出处:
此前曝光的Bumblebee恶意软件SEO投毒攻击活动已扩大攻击面,除此前发现的VMware管理工具RVTools官网仿冒事件外,攻击者正通过更多仿冒知名开源项目的域名实施渗透。安全研究人员发现两起新案例——攻击者分别仿冒网络扫描工具Zenmap(Nmap的图形界面)和网络诊断工具WinMTR的官方网站,这些工具因需要管理员权限运行,成为突破企业网络防御的理想切入点。
仿冒域名zenmap[.]pro和winmtr[.]org被用于传播恶意负载。前者在直接访问时显示与Zenmap相关的AI生成博客内容作为伪装,但当用户通过谷歌、必应等搜索引擎跳转至该域名时,会呈现高度仿真的nmap工具下载页面,提供携带Bumblebee的安装程序“zenmap-7.97.msi”。后者域名当前虽已下线,但攻击链模式如出一辙。
恶意MSI安装包在部署合法软件功能的同时,会植入恶意DLL文件。这种“白加黑”技术与此前RVTools供应链攻击手法完全一致,通过合法程序掩护Bumblebee加载器的运行。该加载器可进行受害者设备指纹采集,并为后续投放勒索软件、信息窃取程序等恶意载荷建立通道。
攻击版图持续扩张,安全团队还发现该活动针对安防领域:仿冒韩华Techwin监控管理软件WisenetViewer,以及视频管理系统Milestone XProtect的官方网站milestonesys[.]org。值得注意的是,正版RVTools下载站点Robware.net和RVTools.com仍处于离线状态,页面仅显示“勿从非官方渠道下载”的警示——这与攻击者通过DDoS攻击瘫痪官网、迫使用户转向恶意站点的策略形成呼应。戴尔科技集团明确否认官方渠道分发过带毒版本,并将官网下线归因于遭受DDoS攻击。
病毒检测数据显示,这些恶意安装包在VirusTotal上的检出率极低:Zenmap相关样本71个引擎中仅33个报毒,WinMTR样本71个引擎中仅28个识别威胁。安全专家建议用户务必通过软件官网或可信包管理器获取工具,安装前需校验文件哈希值与官方发布版本的一致性。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
