|
<div id="post_message_793932">
Недавно<a href="https://xakep.ru/2025/05/20/rvtools-hacked/" target="_blank"> стало известно</a>, что загрузчик малвари Bumblebee распространялся через взломанный сайт RVTools. Как выяснилось теперь, хакеры также злоупотребляют популярностью Zenmap (GUI для Nmap) и WinMTR (утилита для диагностики сетевых соединений).<br/> <br/> Оба инструмента обычно используются ИТ-специалистами для диагностики и анализа сетевого трафика. При этом для работы некоторых функций требуются привилегии администратора, что делает таких пользователей удобной мишенью для злоумышленников, которые стремятся проникнуть в корпоративные сети и распространить малварь на другие устройства.<br/> <br/> Как сообщает издание <a href="https://www.bleepingcomputer.com/news/security/bumblebee-malware-distributed-via-zenmap-winmrt-seo-poisoning/" target="_blank">Bleeping Computer</a>, Bumblebee распространялся как минимум через два домена — zenmap[.]pro и winmtr[.]org. Если последний уже отключен, то первый по-прежнему работает и если зайти по прямой ссылке, отображает фальшивую страницу блога о Zenmap, со сгенерированными ИИ статьями.<br/> <br/> <img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514322/nmappage.jpg"/><br/> <br/> Если же пользователя перенаправили на zenmap[.]pro из результатов поиска, он видит клон легитимного сайта утилиты nmap (Network Mapper).<br/> <br/> <img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514322/nmappage.jpg"/><br/> <br/> Отмечается, что трафик на эти сайты поступает благодаря отравлению SEO, и они занимают высокие позиции в результатах поиска Google и Bing по соответствующим запросам.<br/> <br/> <img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514322/winmrt1.jpg"/><br/> <br/> Полезные нагрузки, доставляемые с этих сайтов, (<a href="https://www.virustotal.com/gui/file/5afe56d224c629d7b7b3c496665ecf373323c4afa44f6701d1 924e44448d08c1" target="_blank">zenmap-7.97.msi</a> и<a href="https://www.virustotal.com/gui/file/02197c23af1f99c3fa41d52f7f925e47ae5bfb5e604314d193 82b1bb7112463f" target="_blank"> WinMTR.msi</a>) не обнаруживаются большинством антивирусных решений на VirusTotal. При этом инсталляторы действительно содержат обещанное приложение, но вместе с ним поставляется вредоносная DLL (как в случае с RVTools), которая заражает устройство пользователя загрузчиком Bumblebee.<br/> <br/> Такой бэкдор может использоваться для сбора информации о жертве и внедрения дополнительной полезной нагрузки, включая стилеры, вымогательское ПО и другие виды малвари.<br/> <br/> Кроме того, журналисты сообщили, что наблюдали аналогичную кампанию, нацеленную не только на тех, кто ищет опенсорсный софт, но и на людей, ищущих софт для управления камерами безопасности WisenetViewer компании Hanwha.<br/> <br/> В свою очередь ИБ-исследователь Джо Вриден (Joe Wrieden) из компании Cyjax <a href="https://www.cyjax.com/resources/blog/a-sting-on-bing-bumblebee-delivered-through-bing-seo-poisoning-campaign/" target="_blank">обнаружил </a>троянизированную версию Milestone XProtect, которая является частью этой же кампании: вредоносные инсталляторы размещены на milestonesys[.]org.<br/> <br/> Стоит отметить, что ранее взломанные официальные домены RVTools (Robware.net и RVTools.com) по-прежнему отображают предупреждение о том, что пользователям не следует загружать софт из неофициальных источников, но ссылки на загрузку отсутствуют.<br/> <br/> При этом в Dell Technologies отвергают все обвинения и заявляют, что сайты компании не распространяли троянизированный вариант RVTools. В компании сообщили, что официальные сайты RVTools временно отключены, поскольку стали объектами DDoS-атак.<br/> <br/> <a href="https://xakep.ru/2025/05/27/winmtr-zenmap-bumblebee/" target="_blank">@ xakep.ru</a> </div> |
<div id="post_message_793932">
Недавно<a href="https://xakep.ru/2025/05/20/rvtools-hacked/" target="_blank"> стало известно</a>, что загрузчик малвари Bumblebee распространялся через взломанный сайт RVTools. Как выяснилось теперь, хакеры также злоупотребляют популярностью Zenmap (GUI для Nmap) и WinMTR (утилита для диагностики сетевых соединений).<br/> <br/> Оба инструмента обычно используются ИТ-специалистами для диагностики и анализа сетевого трафика. При этом для работы некоторых функций требуются привилегии администратора, что делает таких пользователей удобной мишенью для злоумышленников, которые стремятся проникнуть в корпоративные сети и распространить малварь на другие устройства.<br/> <br/> Как сообщает издание <a href="https://www.bleepingcomputer.com/news/security/bumblebee-malware-distributed-via-zenmap-winmrt-seo-poisoning/" target="_blank">Bleeping Computer</a>, Bumblebee распространялся как минимум через два домена — zenmap[.]pro и winmtr[.]org. Если последний уже отключен, то первый по-прежнему работает и если зайти по прямой ссылке, отображает фальшивую страницу блога о Zenmap, со сгенерированными ИИ статьями.<br/> <br/> <img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514322/nmappage.jpg"/><br/> <br/> Если же пользователя перенаправили на zenmap[.]pro из результатов поиска, он видит клон легитимного сайта утилиты nmap (Network Mapper).<br/> <br/> <img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514322/nmappage.jpg"/><br/> <br/> Отмечается, что трафик на эти сайты поступает благодаря отравлению SEO, и они занимают высокие позиции в результатах поиска Google и Bing по соответствующим запросам.<br/> <br/> <img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/514322/winmrt1.jpg"/><br/> <br/> Полезные нагрузки, доставляемые с этих сайтов, (<a href="https://www.virustotal.com/gui/file/5afe56d224c629d7b7b3c496665ecf373323c4afa44f6701d1 924e44448d08c1" target="_blank">zenmap-7.97.msi</a> и<a href="https://www.virustotal.com/gui/file/02197c23af1f99c3fa41d52f7f925e47ae5bfb5e604314d193 82b1bb7112463f" target="_blank"> WinMTR.msi</a>) не обнаруживаются большинством антивирусных решений на VirusTotal. При этом инсталляторы действительно содержат обещанное приложение, но вместе с ним поставляется вредоносная DLL (как в случае с RVTools), которая заражает устройство пользователя загрузчиком Bumblebee.<br/> <br/> Такой бэкдор может использоваться для сбора информации о жертве и внедрения дополнительной полезной нагрузки, включая стилеры, вымогательское ПО и другие виды малвари.<br/> <br/> Кроме того, журналисты сообщили, что наблюдали аналогичную кампанию, нацеленную не только на тех, кто ищет опенсорсный софт, но и на людей, ищущих софт для управления камерами безопасности WisenetViewer компании Hanwha.<br/> <br/> В свою очередь ИБ-исследователь Джо Вриден (Joe Wrieden) из компании Cyjax <a href="https://www.cyjax.com/resources/blog/a-sting-on-bing-bumblebee-delivered-through-bing-seo-poisoning-campaign/" target="_blank">обнаружил </a>троянизированную версию Milestone XProtect, которая является частью этой же кампании: вредоносные инсталляторы размещены на milestonesys[.]org.<br/> <br/> Стоит отметить, что ранее взломанные официальные домены RVTools (Robware.net и RVTools.com) по-прежнему отображают предупреждение о том, что пользователям не следует загружать софт из неофициальных источников, но ссылки на загрузку отсутствуют.<br/> <br/> При этом в Dell Technologies отвергают все обвинения и заявляют, что сайты компании не распространяли троянизированный вариант RVTools. В компании сообщили, что официальные сайты RVTools временно отключены, поскольку стали объектами DDoS-атак.<br/> <br/> <a href="https://xakep.ru/2025/05/27/winmtr-zenmap-bumblebee/" target="_blank">@ xakep.ru</a> </div> |
| All times are GMT. The time now is 04:48 AM. |
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.