VMware管理工具RVTools官网遭入侵，安装包植入Bumblebee恶意软件

广泛使用的VMware 系统管理工具RVTools 最近被发现向用户传播有害软件。安全研究员 Aidan Leon 在 ZeroDayLabs 的一篇博客文章中发出警告，称其官方网站上的 RVTools 安装程序已被入侵。

该问题于2025年5月15日星期四曝光，当时Leon的安全团队检测到一个可疑文件version.dll，该文件试图从RVTools安装程序运行。这是在一名员工尝试安装该实用程序时发生的。

据报道，受感染版本于2025年5月12日星期一首次上传，表明该网站在当天上午8点至11点之间遭到入侵。官方网站随后下线，之后提供了干净的下载版本。然而，到2025年5月16日星期五，该网站再次下线，且没有任何解释。

Microsoft Defender for Endpoint 迅速标记了该活动。进一步调查证实，该恶意安装程序源自 RVTools 官方网站 Robware.net。

Leon 发现受感染的 RVTools 安装程序明显比其合法版本更大。此外，它包含的文件哈希值与官方网站上列出的干净版本不匹配。

检查恶意内容的服务 VirusTotal 对该文件的分析证实了其严重性：71 个防病毒引擎中有 33 个将其识别为Bumblebee 恶意软件加载程序的变种- 该恶意软件因其在网络犯罪分子获取初始访问权限方面所起的作用而闻名，通常为勒索软件或高级攻击框架铺平道路。

该恶意文件甚至在其元数据中故意添加了一些不寻常且令人困惑的细节，例如原始文件名为“Hydrarthrus”，而产品描述则使用了“elephanta ungroupable clyfaker gutturalness”等奇怪的描述。

正如 ZeroDay Labs报告所指出的，这些隐晦的术语被用来转移人们对该文件真正有害目的的注意力。

恶意文件提交至VirusTotal后一小时内，公开检测数量激增。与此同时，RVTools 网站也暂时下线。

网站恢复后，下载的文件已发生变化，文件大小减小，并与官方安全的文件哈希值匹配。这一快速变化强烈表明，该软件的分发渠道遭到了短暂但有针对性的攻击。

安全隐患远不止于官方网站。RVTools 官方网站上也发布警告，建议不要从其他来源下载该软件。

目前在网上搜索“RVTools 下载”，搜索rvtoolsorg结果顶部会显示一个类似的网站。这个自称是官方网站的虚假网站还提供了一个恶意的 RVTools 安装程序。

技术报告：

https://zerodaylabs.net/rvtools-bumblebee-malware/

新闻链接：

https://hackread.com/compromised-rvtools-installer-drop-bumblebee-malware/