Главная страница » Индикаторы компрометации
0
3 месяца
Индикаторы компрометации

Кибератака через RVTools: доверенный инструмент IT-администрирования стал вектором распространения вредоносного ПО Bumblebee

security

13 мая 2025 года зафиксирована кибератака, в ходе которой злоумышленники использовали доверенный инструмент RVTools - популярную утилиту для мониторинга VMware-сред — для распространения вредоносного загрузчика Bumblebee.

Описание

Инцидент начался с предупреждения Microsoft Defender for Endpoint, обнаружившего подозрительный файл version.dll, который пытался выполниться при установке RVTools. Разработчики временно отключили пострадавшие сайты и предупредили пользователей о недопустимости загрузки утилиты из других источников. Хотя точная продолжительность взлома и количество пострадавших пользователей неизвестны, пользователям рекомендуется проверять контрольные суммы инсталляторов RVTools и следить за любыми признаками взлома.

Технические детали

Метод атаки: Подмена легального установщика RVTools модифицированной версией с внедрённым Bumblebee - загрузчиком, используемым для последующей доставки ransomware (например Cobalt Strike).

Признаки компрометации

  • Подозрительные метаданные в файле (например, «Hydrarthrus», «Enlargers pharmakos submatrix»), вероятно, добавленные для запутывания анализа.
  • Нехарактерное поведение установщика - выполнение DLL из временной папки.

Этот случай вновь подтверждает риски атак через цепочку поставок, когда злоумышленники атакуют доверенное ПО для скрытной доставки вредоносных payload.

Индикаторы компрометации

Domains

  • 19ak90ckxyjxc.life
  • 9b10t4vyvx6b5.life
  • 9nl2a1qma4swd.life
  • apsgw881ol7rs.life
  • gc9fctjq62t2e.life
  • o2u1xbm9xoq4p.life
  • rmqa3jodwcmgd.life

MD5

  • 30a5493ffc2fefb5ffeed40c76b1fef8
  • 8e377ee580420245a23222c34beef1a2
  • 97fe0d79000049652af95386c2100275
  • b56613d4572421fa09ef57587fcfccc3
  • c8cf428d62a5fa08194a46f4a50cef9e

SHA1

  • 1f4e46355f50bb3805e2692486001dea0cdaec82
  • 4be21ab3695727d259c9d8dfe4009ac5ab172205
  • 6f27a6047129291acbe1e8b4c92af8b9af8c8a8f
  • b817164a85a685b5e2040d661422ffa8e15cb549
  • e13c836ef980f748b273b1e6fdb197d0c1024da2

SHA256

  • 13306add18046b42268d901876ea007e12fd666fe07a5870ee2ad4c89fb65a6b
  • 27282e66e73fb247ba92a91f500b52d641549a8388e35155938b0d2da3abd537
  • 2be2884069edcd29e2bdc56a403d85e2366b916b7e3aed1a527b9b434d1ac894
  • 36611a029df1a4eed017c13d771b2f87a92322a5bb898068e7eab6932e878204
  • 839e3f4dc441578019dc33c43bc918ad7e6022baa3770f45c6eccfe1239d79c1
Комментарии: 0
Похожие записи
0
09.09.2022
Индикаторы компрометации

Bumblebee Loader IOCs - Part 9

security
Bumblebee - это замена вредоносной программы BazarLoader, которая действует как загрузчик и поставляет известные механизмы атак и инструменты с открытым исходным кодом, такие как Cobalt Strike, Shellcode, Sliver, Meterpreter и др.