HackerNews 编译，转载请注明出处： 此前曝光的Bumblebee恶意软件SEO投毒攻击活动已扩大攻击面，除此前发现的VMware管理工具RVTools官网仿冒事件外，攻击者正通过更多仿冒知名开源项目的域名实施渗透。安全研究人员发现两起新案例——攻击者分别仿冒网络扫描工具Zenmap（Nmap的图形界面）和网络诊断工具WinMTR的官方网站，这些工具因需要管理员权限运行，成为突破企业网络防御的理想切入点。 仿冒域名zenmap[.]pro和winmtr[.]org被用于传播恶意负载。前者在直接访问时显示与Zenmap相关的AI生成博客内容作为伪装，但当用户通过谷歌、必应等搜索引擎跳转至该域名时，会呈现高度仿真的nmap工具下载页面，提供携带Bumblebee的安装程序“zenmap-7.97.msi”。后者域名当前虽已下线，但攻击链模式如出一辙。 恶意MSI安装包在部署合法软件功能的同时，会植入恶意DLL文件。这种“白加黑”技术与此前RVTools供应链攻击手法完全一致，通过合法程序掩护Bumblebee加载器的运行。该加载器可进行受害者设备指纹采集，并为后续投放勒索软件、信息窃取程序等恶意载荷建立通道。 攻击版图持续扩张，安全团队还发现该活动针对安防领域：仿冒韩华Techwin监控管理软件WisenetViewer，以及视频管理系统Milestone XProtect的官方网站milestonesys[.]org。值得注意的是，正版RVTools下载站点Robware.net和RVTools.com仍处于离线状态，页面仅显示“勿从非官方渠道下载”的警示——这与攻击者通过DDoS攻击瘫痪官网、迫使用户转向恶意站点的策略形成呼应。戴尔科技集团明确否认官方渠道分发过带毒版本，并将官网下线归因于遭受DDoS攻击。 病毒检测数据显示，这些恶意安装包在VirusTotal上的检出率极低：Zenmap相关样本71个引擎中仅33个报毒，WinMTR样本71个引擎中仅28个识别威胁。安全专家建议用户务必通过软件官网或可信包管理器获取工具，安装前需校验文件哈希值与官方发布版本的一致性。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： RVTools的官方网站遭到黑客攻击，开始提供被篡改的流行VMware环境报告工具的安装程序。 “Robware.net和RVTools.com目前处于离线状态。我们正在紧急恢复服务，感谢您的耐心等待，”该公司在其网站上发布的声明中表示，“Robware.net和RVTools.com是唯一授权且受支持的RVTools软件下载网站。请勿从任何其他网站或来源搜索或下载所谓的RVTools软件。” 这一事件源于安全研究员Aidan Leon的披露：从该网站下载的受感染安装程序版本被用于侧载一个恶意DLL，该DLL最终被证实是名为Bumblebee的已知恶意软件加载器。目前尚不清楚这个被植入木马的RVTools版本可供下载的时间有多长，也不清楚在该网站下线前有多少用户安装了该版本。在此期间，建议用户验证安装程序的哈希值，并检查用户目录中任何version.dll的执行情况。 此次曝光恰逢另一事件：Procolored打印机提供的官方软件被发现包含一个基于Delphi的后门程序XRed，以及名为SnipVex的剪贴板劫持恶意软件。后者能够将剪贴板中的钱包地址替换为硬编码的攻击者地址。YouTube频道Serial Hobbyism的运营者Cameron Coward最早发现了这些恶意活动细节。 据信至少从2019年就开始活跃的XRed具备收集系统信息、记录键盘输入、通过连接的USB设备传播，以及执行来自攻击者控制服务器的命令（用于截取屏幕截图、枚举文件系统和目录、下载文件、删除系统文件）等功能。G DATA研究员Karsten Hahn对此事件进行了深入调查后指出：“[SnipVex]会搜索剪贴板中类似BTC地址的内容，并将其替换为攻击者的地址，从而使加密货币交易资金被转移到攻击者手中。” 值得注意的是，该恶意软件通过向.EXE文件注入剪贴板劫持功能进行传播，并在文件末尾使用感染标记序列0x0A 0x0B 0x0C以避免重复感染。截至目前，相关钱包地址已收到9.30857859 BTC（约合97.4万美元）。 Procolored公司承认，这些软件包是2024年10月通过USB设备上传至Mega文件托管服务的，恶意软件可能在此过程中被植入。目前仅限F13 Pro、VF13 Pro和V11 Pro产品提供软件下载。Hahn补充说明：“自2024年2月以来，该恶意软件的指挥控制服务器一直处于离线状态。因此XRed在此日期之后无法建立成功的远程连接。但与之配套的剪贴板银行木马SnipVex仍是严重威胁。尽管BTC地址在2024年3月3日之后未再收到交易，文件感染本身仍会对系统造成损害。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

ASEC 分析团队最近发现，许多下载器类型的恶意软件 Bumblebee 正在传播。Bumblebee 下载器正在通过网络钓鱼电子邮件作为 ISO 文件分发，该 ISO 文件包含一个快捷方式文件和一个恶意 dll 文件。此外，还确认了通过电子邮件劫持向国内用户分发的案例。 以下是分发 Bumblebee 下载器的网络钓鱼电子邮件。这封电子邮件会截获一封正常的电子邮件，并在回复用户时附上恶意文件。在收到电子邮件的用户的情况下，判断为正常回复，可以毫无疑问地执行附件，因此需要注意。额外确认的网络钓鱼电子邮件也正在使用电子邮件劫持方法进行分发。除了通过附件进行传播之外，还有一种传播方法是通过在电子邮件正文中包含恶意 URL 来诱导下载。在通过恶意 URL 进行分发的方法中使用 Google Drive 有一个特点。 在钓鱼邮件附件的压缩文件中设置了密码，密码显示在邮件正文中。该文件伪装成发票或请求相关文件名，可见压缩文件内部存在ISO文件。 执行 ISO 文件时，会在 DVD 驱动器中创建 lnk 文件和 dll 文件。lnk文件执行加载通过rundll32.exe创建的恶意dll文件的特定功能的功能。dll 文件是一个实际执行恶意操作并设置了隐藏属性的文件。如果关闭显示隐藏属性文件的选项，则只出现lnk文件，因此很有可能在不知道恶意dll文件存在的情况下运行lnk文件。 lnk 命令 %windir%\system32\rundll32.exeneval.dll,jpHgEctOOP 通过lnk文件执行的恶意dll是打包形式的，解包后会进行多次反沙盒和反分析测试。多个检查过程中的一些如下，它是一个代码，检查用于恶意代码分析的程序是否正在运行，虚拟环境中使用的文件是否存在，以及是否通过mac地址与特定制造商匹配。除了相应的检查外，还通过注册表值、窗口名、设备、用户名、是否存在特定的API来检查是虚拟环境还是分析环境。 如果上述所有过程都通过，则执行了实际的恶意操作。首先，对编码数据进行解码，得到如下的多个C2信息。之后，它通过收集用户PC信息来尝试连接和传输C2。 解码 C2 73.214.29[.]52:443,78.112.52[.]91:443,21.175.22[.]99:443, 107.90.225[.]1:443, 212.114.52[.]46 ：443、101.88.16[.]100:443、19.71.13[.]153:443、108.16.90[.]159:443、103.175.16[.]122:443、121.15.221[.]97：443、19.71.13[.]153:443、22.175.0[.]90:443、19.71.13[.]153:443、146.19.253[.]49:443、38.12.57[.]131：443、191.26.101[.]13:443 目前无法连接相关的C2，但如果连接成功，可以根据攻击者的指令进行以下动作。将文件名为“my_application_path”的恶意DLL复制到%APPDATA%文件夹，创建执行复制的dll的vbs文件，将恶意数据注入正常程序，保存并执行从C2接收到的文件名恶意数据“wab.exe” 还有各种附加功能，例如 注入目标程序 \\Windows Photo Viewer\\ImagingDevices.exe \\Windows Mail \\wab.exe \\Windows Mail\\wabmig.exe 近期，Bumblebee 下载器数量大幅增加，存在通过 Bumblebee 下载器下载 Cobalt Strike 等恶意数据的案例。另外，国内用户已经确认使用邮件劫持的方式进行分发，需要用户注意，对邮件中的附件和网址进行限制阅读和访问。目前，在V3中，恶意代码诊断如下。 【文件诊断】 Dropper/Win.DropperX-gen.C5154946 (2022.06.02.02) 木马/Win.BumbleBee.R497004 (2022.06.11.01) Dropper/ISO.Bumblebee (2022.06.13.02) 木马/BAT.Runner (2022.06.13.02) 木马/LNK.Runner (2022.06.13.02) [IOC ] 11999cdb140965db45055c0bbf32c6ec b7936d2eed4af4758d2c5eac760baf1d e50fff61c27e6144823dd872bf8f8762 2c9a4291387fd1472081c9c464a8a4caed20bfa   转自 cnBeta，原文链接：https://mp.weixin.qq.com/s/WqLgxg4jN_43z9RHR_MIwA 封面来源于网络，如有侵权请联系删除