innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

RVTools公式サイトがハッキング被害、Bumblebeeマル配布のサプライチェーン攻撃が発生ウェア

RVTools公式サイトがハッキング被害、Bumblebeeマル配布のサプライチェーン攻撃が発生ウェア - innovaTopia - (イノベトピア)

Last Updated on 2025-05-20 10:24 by admin

VMware環境レポートユーティリティとして広く利用されているRVToolsの公式サイト(Robware.netとRVTools.com)がハッキングされ、トロイの木馬化されたインストーラーを通じてBumblebeeマルウェアを配信していたことが明らかになった。

この問題は2025年5月13日、ZeroDay Labsの脅威アナリストAidan Leon氏の所属企業でMicrosoft Defender for Endpointが、RVToolsのインストール試行時に不審なversion.dllファイルを検出したことから発覚した。このDLLファイルはインストーラーと同じディレクトリから実行されており、これは非常に異常な動作だった。

調査によると、マルウェアに感染したRVToolsインストーラーは2025年5月12日の午前8時から11時の間に公式サイトにアップロードされたと推測される。悪意のあるインストーラーは正規のものより大きく、脅威アクターはサイトに掲載されていた元のハッシュ値を変更していなかった。

感染したインストーラーをVirusTotalにアップロードしたところ、71のアンチウイルスエンジンのうち33がこれを悪意のあるファイルとして検出し、具体的にはBumblebeeローダーの新しいカスタマイズ版として識別された。Bumblebeeマルウェアは脅威アクターの初期アクセスを容易にし、しばしばランサムウェアの展開やCobalt Strikeなどの侵害後ツールの前兆となることが知られている。

現在、RVToolsの公式サイトはオフラインになっており、同社は「サービスの復旧に向けて迅速に取り組んでいる」と声明を発表している。5月17日には一時的にサイトが復旧したものの、5月19日現在は再びオフラインとなっている。ユーザーにはインストーラーのハッシュを確認し、ユーザーディレクトリからのversion.dllの実行を確認することが推奨されている。

また、同時期にプリンターメーカーのProcoloredが配布していた公式ソフトウェアにも、XRedというDelphiベースのバックドアとSnipVexというクリッパーマルウェアが含まれていたことが明らかになった。この問題はYouTubeチャンネル「Serial Hobbyism」を運営するCameron Coward氏が6,000ドルのUVプリンターをレビューしようとした際に発見された。

XRedバックドアは少なくとも2019年から活動していると考えられ、システム情報の収集、キーストロークの記録、USBドライブを介した拡散、リモートコマンド実行などの機能を持つ。一方、SnipVexはクリップボード内の暗号通貨ウォレットアドレスを攻撃者のアドレスに置き換える機能を持ち、これまでに約97万4000ドル相当のビットコインが盗まれたとされる。

References:
文献リンクRVTools Official Site Hacked to Deliver Bumblebee Malware via Trojanized Installer

【編集部解説】

今回のRVToolsの公式サイトハッキング事件は、企業のITインフラを支える重要ツールが標的となった典型的なサプライチェーン攻撃の事例です。複数の情報源を確認したところ、この攻撃は2025年5月12日から13日にかけて発生し、比較的短時間で発見・対応されたことが分かりました。

特に注目すべきは、この攻撃がVMware環境の管理に広く使われているRVToolsという信頼性の高いツールを標的にしたことです。RVToolsはもともとRob de Veijによって開発され、後にDell Technologiesに買収されたという経緯があります。企業のIT管理者が日常的に使用するこうしたツールが悪用されると、その影響は単一組織にとどまらず、広範囲に及ぶ可能性があります。

攻撃者はRVToolsの公式サイト(Robware.netとRVTools.com)を一時的に侵害し、正規のインストーラーに見せかけた悪意のあるバージョンを配布しました。ZeroDay Labsの脅威アナリストAidan Leon氏によると、この不正なインストーラーは2025年5月12日の午前8時から11時の間にアップロードされ、約3時間後にサイトがオフラインになるまで配布されていたとのことです。

興味深いのは攻撃者の手法です。彼らは公式サイトに掲載されていた正規インストーラーのハッシュ値をあえて変更せず、ユーザーが検証しても問題ないように見せかけました。しかし実際には、不正なインストーラーは正規のものより大きく、「version.dll」という悪意のあるDLLファイルを含んでいました。

このマルウェアはBumblebeeローダーの変種として識別されています。Bumblebeeは初期アクセスツールとして知られ、侵入後にCobalt Strikeなどの高度な攻撃ツールやランサムウェアを展開するための足がかりとして使われることが多いです。つまり、この攻撃は単なるマルウェア感染にとどまらず、より深刻なランサムウェア攻撃の前段階である可能性が高いのです。

幸いなことに、Microsoft Defender for Endpointが不審なDLLファイルの実行を検出したことで早期に発見され、被害は最小限に抑えられたようです。しかし、この事例は企業のセキュリティ担当者にとって重要な教訓となります。

特に注意すべきは、正規サイトからダウンロードしたソフトウェアであっても安全とは限らないという点です。Help Net Securityの報告によれば、Google検索で「RVTools download」を検索すると、「rvtools.org」という偽の公式サイトが最上位に表示されるという問題も確認されています。これは単なる広告ではなく、検索結果そのものであり、ユーザーを混乱させる可能性があります。

また、同時期に報告されたProcoloredプリンターの事例も、製品に付属する正規ソフトウェアにマルウェアが仕込まれていたという点で類似しています。こちらはXRedバックドアとSnipVexクリッパーマルウェアという2種類の脅威が含まれており、特にSnipVexによって約97万4000ドル相当のビットコインが盗まれたとされています。

これらの事例から、私たちが学ぶべき教訓は明確です。信頼できるソースからソフトウェアをダウンロードするだけでは不十分であり、ハッシュ値の検証やセキュリティツールによる監視など、複数の防御層を組み合わせることが重要です。また、企業はサプライチェーン攻撃に対する監視と対応の体制を強化する必要があります。

今回のような攻撃が増加している背景には、サイバー犯罪者が直接的な攻撃よりも、信頼されたソフトウェア配布チャネルを悪用する方が効率的だと認識していることがあります。今後も同様の手法を用いた攻撃が増加する可能性が高く、セキュリティ意識の向上と多層防御の実践が不可欠となるでしょう。

【用語解説】

RVTools
Rob de Veijによって開発され、後にDell Technologies社が買収したVMware仮想環境の管理・監視ツール。2008年に個人開発ツールとして公開され、2023年にDellが買収した。vCenter Server配下の仮想マシンの情報を収集し、Excelファイルとして出力できる。世界中で200万以上のダウンロード実績がある。

VMware
仮想化技術を提供する企業で、vSphereなどの製品で知られる。物理サーバー上に複数の仮想マシンを作成・運用するためのソフトウェアを提供している。

サプライチェーン攻撃
正規の配布経路を悪用して悪意のあるコードを配布する攻撃手法。信頼されているソフトウェアの配布プロセスを侵害することで、多数のユーザーに一度に攻撃を仕掛けることができる。これは「毒入り料理を配達サービスに混入させる」ようなものだ。

Bumblebeeマルウェア
初期アクセスツールとして機能するマルウェアローダー。主な役割は他の悪意あるソフトウェア(ランサムウェアなど)をダウンロードし実行すること。「玄関のドアを開ける人」のような役割を果たす。

トロイの木馬化されたインストーラー
正規のソフトウェアに見せかけた悪意のあるプログラム。ギリシャ神話の「トロイの木馬」にちなんで名付けられており、ユーザーが自ら実行することで感染する。

XRedバックドア
2019年頃から活動しているマルウェア。システム情報の収集、キーストロークの記録、スクリーンショットの取得などの機能を持つ。「家の裏口に隠れて住み着く泥棒」のようなものだ。

SnipVexクリッパーマルウェア
クリップボードの内容を監視し、暗号通貨のウォレットアドレスを攻撃者のものに置き換えるマルウェア。「郵便物の宛先を書き換える詐欺師」のような役割を果たす。

DLL(Dynamic Link Library)
Windowsのプログラムが共有する機能を含むファイル。正規のDLLに見せかけた悪意のあるDLLを実行させることで、マルウェア感染が起こる場合がある。

【参考リンク】

RVTools公式サイト(外部)
VMware環境の情報収集・分析ができる無料ツール。Dell Technologiesが提供している。

Dell Technologies(外部)
コンピューターハードウェア、ソフトウェア、クラウドソリューションを提供する多国籍企業。

VMware(外部)
仮想化ソフトウェアを提供する企業。RVToolsはVMware環境の管理に使用される。

Procolored(外部)
DTFプリンターなどを製造・販売する中国のプリンターメーカー。2018年に深センで創業。

【参考動画】

【編集部後記】

皆さんの組織では、ソフトウェアのインストール前にハッシュ値を確認する習慣はありますか? 今回のRVTools事件のように、信頼できる公式サイトからのダウンロードでも安全とは限りません。セキュリティツールの検出に頼るだけでなく、ハッシュ確認やサンドボックス環境での事前検証など、どんな対策を取り入れていますか? また、社内でこうした事例を共有し、セキュリティ意識を高める取り組みについてもぜひSNSでお聞かせください。皆さんの知見が、他の読者の大きな助けになるはずです。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » RVTools公式サイトがハッキング被害、Bumblebeeマル配布のサプライチェーン攻撃が発生ウェア

Recommend