Bumblebee kötü amaçlı yazılım SEO zehirlenme kampanyası Bu haftanın başlarında ortaya çıkarıldı RVTools, BT personeli tarafından kullanılan cihazları enfekte etmek için diğer popüler açık kaynak projelerini taklit eden daha yazılışlar daha fazla yazım hatası kullanıyor.
BleepingComputer, ZenMap’ın kötü şöhretinden, NMAP ağ tarama aracı için GUI ve WINMTR Tracerout yardımcı programından yararlanan iki dava bulabildi.
Bu araçların her ikisi de BT personeli tarafından ağ trafiğini teşhis etmek veya analiz etmek için yaygın olarak kullanılmaktadır, bu da bazı özelliklerin çalışması için idari ayrıcalıklar gerektirir, bu araçların kullanıcılarını kurumsal ağları ihlal etmek ve diğer cihazlara yanal olarak yaymak isteyen tehdit aktörleri için birincil hedefler haline getirir.
Bumblebee kötü amaçlı yazılım yükleyicisi en az iki alandan itildi – Zenmap[.]profesyonel ve winmtr[.]Org. İkincisi şu anda çevrimdışı olsa da, birincisi hala çevrimiçi ve doğrudan ziyaret edildiğinde Zenmap hakkında sahte bir blog sayfası gösteriyor.
Kullanıcılar Zenmap’a yönlendirildiğinde[.]Arama sonuçlarından Pro, NMAP (Network Mapper) yardımcı programı için meşru web sitesinin bir klonunu gösterir:
Kaynak: BleepingComputer
İki site, SEO zehirlenmesi yoluyla trafik aldı ve Google’da yüksek ve ilişkili terimler için arama sonuçları aldı.
.jpg)
Kaynak: BleepingComputer
BleepingColputer’ın testleri, sahte Zenmap sitesini doğrudan ziyaret ederseniz, aşağıdaki resimde görüldüğü gibi, AI tarafından oluşturulan birkaç makale gösterdiğini göstermektedir:
Kaynak: BleepingComputer
‘Zenmap-7.97.msi’ ve ‘winmtr.msi indirme bölümünden teslim edilen yükler ve her ikisi de Virustotal’daki çoğu antivirüs motorundan algılamadan kaçınır [1, 2].
Yükleyiciler, vaat edilen uygulamayı, kullanıcıların cihazlarına bir bumblebee yükleyici bırakan RVTools durumunda olduğu gibi kötü amaçlı bir DLL ile birlikte sunar.
Oradan, arka kapı kurbanı profillemek ve infosterers, fidye yazılımı ve diğer kötü amaçlı yazılım türlerini içerebilecek ek yükler sunmak için kullanılabilir.
Yukarıda belirtilen açık kaynaklı araçların yanı sıra, BleepingComputer da Hanwha Güvenlik Kamerası Yönetim Yazılımı WisenetViewer’ı arayan kullanıcıları hedefleyen aynı kampanyayı gördü.
Cyjax’ın araştırmacısı Joe Wrieden ayrıca video yönetimi yazılımı kilometre taşı Xprotect’in aynı kampanyanın bir parçası olduğunu tespit etti, kötü niyetli yükleyiciler ‘Milestonesysysy[.]org ‘(çevrimiçi).
Resmi Rvtools hala çevrimdışı
Her iki resmi RVTools alan adları – robware.net ve rvtools.com – şu anda kullanıcıların yazılımı resmi olmayan sitelerden indirmemeleri için bir uyarı gösteriyor, ancak indirme bağlantısını kendileri kullanıma sunmayın.
Resmi RVTools sitesinin kötü amaçlı yazılım bağlayıcıları zorladığı iddialarının ardından Dell Technologies, sitelerinin ürünün truva atma varyantını dağıtmadığını söyleyerek suçlamayı reddetti.
Dell, resmi RVTools sitelerinin, dağıtılmış hizmet reddi (DDOS) saldırılarının hedefleri oldukları için çevrimdışı alındığını belirtti.
Saldırılar için bir açıklama, Bumblebee’nin arkasındaki tehdit aktörünün, araç için alternatif kaynaklar arayan kötü amaçlı sitelere gitmek için resmi indirme portallarını devirmeye karar vermesidir.
Meşru yazılımın truva atış sürümlerini kurma riskini azaltmak için en iyi öneri, resmi kaynaklardan ve paket yöneticilerinden almayı sağlamaktır.
Ayrıca indirilen yükleyicinin karma işlemini çalıştırmadan önce bilinen, temiz bir sürümle kontrol etmeye değer.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.