聚焦源代码安全,网罗国内外最新资讯!
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
一名员工尝试安装 RVTools 不久后,微软 Defender for Endpoint 标记了为可疑行为。Leon 表示,“在启动该安装程序的几分钟内,Defender 标记了一个可疑文件:version.dll,它尝试从与安装器同样的目录执行。”该行为立即被识别为 RVTools 的不正常行为,因此研究人员开展了更加深入的调查。
将该可疑文件提交到 VirusTotal 后,发现71个反病毒引擎中的33个将其检测为恶意性质。该恶意软件被归类为 Bumblebee 加载器变体,用于传播利用后框架如 Cobalt Strike 以及便于部署勒索软件。
更多的元数据增加了不真实的混淆,内容包括:
-
原始文件名称:Hydrathrus
-
公司:Enlargers pharmakos submatrix
-
产品:nondimensioned yogis
-
描述:elephanta ungroupable clyfaker gutturalness
Leon 表示,“这些不存在的词语是故意混淆以及尝试分散的行为…… 可能是为了提示‘犯罪主谋’,尽管这也是推断出来的结论。”
调查证实 RVTools 受陷版本中包含此前清洁版本中不存在的 .dll。值得注意的是,RVTools 网站不久之后下线,而恢复后开始提供更小的干净文件但并不匹配官方版本,这说明这是一次临时的针对性攻陷事件。
ZeroDay Labs 迅速行动,遏制该威胁:
-
通过 Defender 在受感染端点上执行完整的扫描;
-
隔离恶意 version.dll
-
验证已有的RVTools
-
向内部检测团队提交妥协指标 (IOCs)
-
通知厂商
原文始发于微信公众号(代码卫士):供应链攻击:通过Vmware 工具RVTools传播Bumblebee 恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论