Erst kürzlich berichteten wir über infizierte Druckertreiber bei Precolored. Nun ist ein zweiter Fall einer Supply-Chain-Attacke aufgetaucht, dieses Mal betrifft es die VMware-Management-Software von RVTools, wie der Security-Experte Aidan Leon in einem Blogbeitrag ausführt.

Das Tool, das normalerweise für die Überwachung und Berichterstattung von VMware-Umgebungen verwendet wird und bei IT-Administratoren als vertrauenswürdig gilt, versuchte nämlich unerwartet, eine Datei namens "version.dll" aus dem Installationsverzeichnis auszuführen. Dieses für den Installer völlig untypische Verhalten erregte sofort Verdacht. Eine schnelle Überprüfung bestätigte den Argwohn: Die hochgeladene Datei wurde von 33 der 71 Antivirenprogramme auf VirusTotal als Variante der berüchtigten Bumblebee-Loader-Malware identifiziert.

Verdächtige Metadaten

Bei näherer Untersuchung der kompromittierten Datei stießen die Sicherheitsexperten auf auffällig obskure Metadaten. Im Gegensatz zur legitimen Software enthielt die infizierte Version seltsame Einträge wie "Original File Name: Hydrarthrus", "Company: Enlargers pharmakos submatrix", "Product: nondimensioned yogis" und "Description: elephanta ungroupable clyfaker gutturalness".

Diese absurd anmutenden Bezeichnungen dienten vermutlich der Ablenkung und Verschleierung. Die Bumblebee-Malware selbst ist bekannt dafür, dass sie häufig als erster Brückenkopf für Ransomware-Angriffe und Post-Exploitation-Aktivitäten wie Cobalt Strike dient – ein beunruhigendes Zeichen für die potenzielle Gefährlichkeit des Angriffs.

Gezielte Supply-Chain-Attacke

Der Hashwert des heruntergeladenen Installers stimmte nicht mit dem auf der RVTools-Website angegebenen überein – ein deutliches Zeichen für Manipulation. Auffällig war auch, dass die kompromittierte Version erheblich größer war als das Original und die schädliche version.dll enthielt. Ältere RVTools-Versionen waren hingegen sauber und hatten korrekte Hashwerte.

Etwa eine Stunde nach dem ersten Upload auf VirusTotal stieg die Anzahl der Einreichungen von 4 auf 16, was auf eine breitere Entdeckung des Problems hindeutete. Interessanterweise ging die RVTools-Website kurz darauf offline. Als sie wieder erreichbar war, hatte sich der Download verändert: Die Dateigröße war nun kleiner und der Hashwert stimmte wieder mit der sauberen Version überein – ein starkes Indiz dafür, dass die Websitebetreiber die Kompromittierung bemerkt und behoben hatten.

RVTools derzeit offline

Nach der Bestätigung der Bedrohung leiteten Sicherheitsteams bei Aidan Leons Kunden umgehend Gegenmaßnahmen ein. So wurde auf den betroffenen Systemen ein vollständiger Malwarescan durchgeführt und die infizierte Datei unter Quarantäne gestellt. Immerhin fanden sich keine Hinweise auf eine weitergehende Kompromittierung oder laterale Bewegungen im Netzwerk – zumindest in diesem Fall.

Die Reaktion im dargestellten Fall umfasste zudem die Überprüfung älterer RVTools-Installationen im gesamten Netzwerk, den Abgleich des Download-Verlaufs mit bekannten sauberen Hashwerten sowie die Übermittlung interner Indicators of Compromise (IOCs) an Threat-Intelligence- und Erkennungsteams. Nicht zuletzt wurden die Software-Entwickler über das verdächtige Verhalten informiert. RVTools hat das Problem mittlerweile erkannt und seine Webseite offline genommen.

Downloads besser prüfen

Der Vorfall verdeutlicht die Risiken von Software-Supply-Chain-Angriffen – selbst bei etablierten Tools. Experten betonen vier zentrale Erkenntnisse:

1. Die Dateiintegrität ist entscheidend: Hashwerte sollten stets überprüft werden, besonders bei Downloads von inoffiziellen Spiegelservern oder wenn der Anbieter keine Codesignierung verwendet.
2. Metadaten können wichtige Hinweise liefern: Obskur anmutende Beschreibungen in ausführbaren Dateien sind oft ein Warnsignal.
3. VirusTotal schafft Klarheit: Die Möglichkeit, die Erkennungsraten, das Volumen und den Trend der Einreichungen zu beobachten, hilft bei der Validierung der Schwere eines Vorfalls.
4. Anbieter müssen ihre Distributionskanäle absichern: Verlässliche Codesignierung, ausschließlich HTTPS-Downloads und unveränderliche Datei-Hosting-Umgebungen sind entscheidend, um Hijacking-Angriffe wie diesen zu verhindern.

Sicherheitsexperten empfehlen allen Organisationen, die RVTools kürzlich heruntergeladen haben, den Hashwert des Installers zu überprüfen und nach Ausführungen der "version.dll" in Benutzerverzeichnissen zu suchen.