Güncelleme 5/20/25 16:40: Saldırı ile ilgili sorularımıza yanıt olarak Dell, kötü niyetli RVTools yükleyicisinin sitelerinden değil, sahte yazım hatası kesilmiş alanlardan dağıtıldığını belirtiyor.
Şirket ayrıca Dell tarafından yönetilen sitelerin Robware.net ve Rvtools.com’un DDOS saldırılarında hedeflendikçe çevrimdışı alındığını belirtiyor.
“Dell Technologies, RVTools yazılımımızı dağıtmak için iki web sitesi işletmektedir: robware.net ve rvtools.com. RVTools yazılımının kötü niyetli sürümlerinin bu web sitelerinde mevcut olduğunu iddia eden raporların farkındayız. Araştırmamız, bu web sitelerinin veya buradaki yazılımların bir müdürlüğünü öneren herhangi bir gösterge tanımlamamıştır.”
Diyerek şöyle devam etti: “Web sitelerimizi kötü amaçlı yazılım dağıtabilecek sahte web sitelerini tespit ettik. Meşru web sitelerimiz – robware.net ve rvtools.com – son Hizmet Reddetme (DOS) saldırılarına konu oldu. Önlem olarak bu siteleri geçici olarak devre dışı bıraktık.”
“RVTools yazılımı için, Dell tarafından yönetilen tek siteler robware.net ve rvtools.com’dur. Müşteriler, diğer web sitelerinden veya kaynaklardan iddia edilen RVTools yazılımını aramamalı veya indirmemelidir.”
Bu, Zeroday Labs araştırmacısı Aidan Leon’un Reddit’e defalarca yayınladığı şeyle çelişiyor ve dosyaların doğrudan RVTools web sitesinden indirildiğini belirtiyor.
Leon, Trippyymuffin takma adı altında Reddit’e gönderildi, “Resmi olarak tehlikeye atıldığında bazı karışık cevaplar alıyorum. Bunun ilk kez olmadığını belirten farklı makaleler okuyorum.”
“Çoğu zaman SEO zehirlenmesini fark etmeyen şanssız insanlar, ancak bu sefer gerçek web sitesi tehlikeye atıldı. 5/12 Pazartesi günü ilk elden fark ettim. Salı öğleden sonra web sitesi geri döndü, geri döndü ve kötü niyetli dosya güvenli bir dosya ile değiştirildi.”
“Şu andan itibaren, web sitesi tekrar çevrimdışı, bu yüzden kesinlikle perde arkasında bir şeyler oluyor. Umarım rvtools lehine, tam tersi değil.”
BleepingComputer, Dell’den ifadeyi aldıktan sonra takip sorularıyla Leon ile temasa geçti, ancak yanıt almadı.
Dell, kötü amaçlı yazılım montajcılarının onlardan gelmediğini söylerken, tehdit aktörlerinin RVTools olarak gizlenmiş Bumblee kötü amaçlı yazılım yükleyicilerini dağıttığı gerçeği devam ediyor.
Yakın zamanda yazılımı yüklediyseniz, kötü amaçlı sürümü indirmediğinizi onaylamak için Virustotal’da taramanız şiddetle tavsiye edilir.
Orijinal düzenlenmemiş hikayemiz aşağıda.
RVTools VMware yönetim aracı için resmi web sitesi, kullanıcıların makinelerine Bumblebee kötü amaçlı yazılım yükleyicisini bırakmak için bir truva atı yükleyicisini dağıtan bir tedarik zinciri saldırısı gibi görünen bir çevrimdışı olarak alındı.
Yazma sırasında, ‘rvtools.com’ ve ‘robware.net’ adresindeki resmi RVTools web siteleri artık aracı diğer kaynaklardan indirme riskleri hakkında bir bildirim gösteriyor. Mesaj, indirme portallarının ne zaman çevrimiçi olarak döneceğine dair hiçbir tahmin vermez.
Web sitesi, “Robware.net ve rvtools.com şu anda çevrimdışı. Hizmeti geri yüklemek ve sabrınızı takdir etmek için hızla çalışıyoruz.”
“Robware.net ve rvtools.com sadece RVTools yazılımı için yetkili ve desteklenen web siteleri. Söz konusu RVTools yazılımını diğer web sitelerinden veya kaynaklardan aramayın veya indirmeyin. “
Kaynak: BleepingComputer.com
Rvtool tedarik zinciri saldırısı
Başlangıçta Robware tarafından geliştirilen ve şimdi Dell’e ait olan RVTools, VMware vSphere ortamları için kapsamlı envanter ve sağlık raporlaması sağlayan bir Windows yardımcı programıdır.
RVTools, VMware yöneticileri için temel bir araç olarak kabul edilmektedir ve VMware’in kendi Sanal Bloklar blogu bunu VSphere Management için en iyi yardımcı program olarak tanımıştır.
Tedarik zinciri saldırısı ilk olarak resmi RVTools Montajcının [VirusTotal] kötü niyetli bir sürüm yürütmeye çalıştı. dll [VirusTotal] Bumblebee kötü amaçlı yazılım yükleyici olarak tespit edildi.
Leon, “Daha fazla araştırma, RVTools web sitesinde listelenen hash ile indirilen gerçek dosya arasında bir uyumsuzluk ortaya çıktı.”
“İndirilen sürüm önemli ölçüde daha büyüktü ve kötü niyetli sürüm içeriyordu.
“Virustotal sunumumuzdan yaklaşık bir saat sonra, kamu başvurularının sayısı 4’ten 16’ya yükseldi. Aynı zamanda, RVTools web sitesi geçici olarak çevrimdışı oldu. İndirim çevrimiçi geldiğinde, indirme değişti: dosya boyutu daha küçüktü ve hash şimdi sitede listelenen temiz sürümle eşleşti”.
Bumblebee, tipik olarak SEO zehirlenmesi, kötüverizasyon ve kimlik avı saldırıları yoluyla tanıtılan bir kötü amaçlı yazılım yükleyicidir. Kurulduğunda, kötü amaçlı yazılım, Kobalt Strike Beacons, Bilgi Stealers ve Fidye Yazılımları gibi enfekte olmuş cihazlarda ek yükler indirir ve yürütür.
Kötü amaçlı yazılım, kötü amaçlı yazılımları kurumsal ağlara ilk erişim elde etmek için kullanan Conti fidye yazılımı işlemine bağlıdır. Conti fidye yazılımı operasyonu 2022’de kapanırken, üyelerinin çoğu siyah Basta, Royal, Sessiz Fidye ve diğerleri de dahil olmak üzere diğer fidye yazılımı işlemlerine ayrıldı.
Siber güvenlik firması Arctic Wolf ayrıca, muhtemelen SEO zehirlenmesi veya kötüverizasyon yoluyla teşvik edilen kötü niyetli yazım hatası alanları aracılığıyla dağıtılan truva atlı rvtools montajcılarını gördüğünü bildiriyor.
Arctic Wolf Report, “Arktik Wolf son zamanlarda kötü niyetli bir yazım hatası ile truva atlı bir rvtools montajının dağılımını gözlemledi.”
“Etki alanı meşru etki alanıyla eşleşir, ancak üst düzey etki alanı (TLD) .com’dan .org’a değiştirilir. RVTools, Robware tarafından geliştirilen envanter ve yapılandırma raporlaması için yaygın olarak kullanılan bir VMware yardımcı programıdır.”
Son zamanlarda, RVTools markasını hedefleyen SEO zehirlenmesi ve kötü niyetli kampanyalar hakkında insanları kötü niyetli, truva atışçılarını indirmeye kandırmak için başka raporlar da vardı.
Bu alanlardan yazılım indirdiyseniz, cihazınıza Bumblebee kötü amaçlı yazılımlar ve muhtemelen ek yükler ile enfekte olma şansı yüksektir.
Kötü amaçlı yazılım, tehdit aktörleri tarafından kurumsal ağlarda bir yer kazanmak için kullanıldığından, tespit edilirse, diğer cihazların tehlikeye girip girmediğini belirlemek için tam bir soruşturma yapmak çok önemlidir.
Hash’ini doğrulamadığınız sürece, güvenli/temiz bir sürüm sunduğunu iddia eden resmi olmayan kaynaklardan RVTools yükleyicilerini indirmeyin ve yürütmeyin.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.