Introdução ao ataque de cadeia de suprimentos
Uma ferramenta confiável para administradores de VMware, o RVTools, foi weaponizada por atacantes. Um instalador falso da ferramenta foi criado e disfarçado com um certificado digital real para contornar os avisos de segurança do Windows SmartScreen sem levantar suspeitas. O RVTools é um item essencial em ambientes empresariais, onde administradores de TI dependem dele diariamente para obter visibilidade detalhada sobre máquinas virtuais e infraestrutura. Devido ao fato de ser executado por pessoas com acesso de domínio de alto nível, tornou-se um alvo perfeito para impersonação.
Os analistas do K7 Security Labs identificaram e relataram o ataque em detalhes. O instalador falso carregava um certificado de assinatura de código válido emitido pela Sectigo, registrado sob o que parece ser uma entidade de fachada chamada Xiamen Lunwei Huage Network Co., Ltd. No momento da entrega, o certificado estava totalmente válido, o que significa que o Windows SmartScreen e a maioria dos controles de endpoint não levantaram nenhum alerta.
Fluxo de ataque de três etapas
O que se seguiu foi um ataque totalmente estruturado em três etapas. O malware deixou um script oculto dentro do instalador, executou uma varredura de reconhecimento silenciosa do sistema da vítima e estabeleceu um canal de acesso remoto persistente que se comunicava a cada cinco minutos.
Uma vez que um usuário executou o arquivo e concedeu privilégios administrativos, o instalador ativou silenciosamente um VBScript oculto armazenado na tabela binária do MSI. Este script usou codificação de decimal para caractere para esconder suas instruções reais, garantindo que os scanners de segurança não vissem nada alarmante. Em seguida, ele gerou um processo PowerShell oculto que baixou um arquivo compactado de aproximadamente 33MB chamado winp.zip de um link do Dropbox e o extraiu na pasta AppData.
O arquivo compactado continha um ambiente Python portátil, incluindo VS Code, Spyder, Jupyter Lab e PowerShell, escondendo scripts maliciosos entre dezenas de ferramentas confiáveis que pareceriam normais em qualquer auditoria de sistema de arquivos. Após um prompt de reinicialização apresentado como limpeza de arquivos de instalação, os mecanismos de persistência foram ativados silenciosamente em segundo plano.
Detecção e indicadores de comprometimento (IoCs)
Uma vez que o sistema reiniciou, dois scripts Python entraram em ação. O primeiro, collector.py, realizou uma varredura profunda do host, coletando nome do host, endereço MAC, privilégios de usuário, serviços instalados, processos em execução e detalhes do Active Directory. Ele hashou esses identificadores em um ID único de oito caracteres para que o atacante pudesse rastrear a vítima mesmo através de mudanças de endereço IP.
O segundo script, Pmanager.py, criptografou esses dados usando RC4 combinado com compressão zlib e enviou para um dos cinco endereços de servidor de comando e controle (C2) codificados em hardcode via solicitações HTTP POST. O RAT (Remote Access Trojan) fez beaconing a cada 300 segundos e podia receber instruções para executar executáveis, lançar comandos PowerShell, baixar payloads adicionais ou remover-se da máquina inteiramente.
Para sobreviver a reinicializações, ele escreveu uma entrada de Execução do Registro do Windows e criou uma tarefa agendada executando com privilégios de nível SYSTEM.
Medidas de mitigação e recomendações para executivos
Organizações que utilizam VMware devem verificar se qualquer instalador do RVTools foi baixado diretamente do site oficial em robware.net. As equipes de segurança são aconselhadas a monitorar arquivos winp.zip inesperados em diretórios AppData, observar processos Python lançados de caminhos incomuns e impor verificações de revogação de certificado em tempo real na execução.
Bloquear conexões de saída para endereços IP desconhecidos a partir de estações de trabalho administrativas adiciona proteção significativa contra ataques como este. A revogação do certificado oferece proteção limitada a ambientes que não exigem verificações de certificado em tempo real na execução. Qualquer ambiente que dependa apenas de validação de assinatura estática teria visto nada suspeito.
Indicadores de Comprometimento (IoCs)
- Hash MD5 (Instalador Malicioso): 64bda120cb447e0c03f451190022a57b
- Hash SHA256 (Instalador Malicioso): d0f5e98fb840fb5656d3f50613b6f1ec60e57392643159841bc1fa95396087a4
- Nome do Arquivo: Binary.MyScript.vbs
- Hash MD5 (Script VB): 01A115C6F6BA3837234202A1E0D28BDC
- Nome do Arquivo: Pmanager.py
- Hash MD5 (Pmanager.py): 71085940124AD3C035A181ACADC10362
- Nome do Arquivo: collector.py
- Hash MD5 (collector.py): 9192D18A955A9D03E2C70B60AAC1784A
- Nome do Arquivo: winp.zip
- Nome do Arquivo: configA.json
- Emissor do Certificado: Xiamen Lunwei Huage Network Co., Ltd. (Sectigo)
Perguntas frequentes
Por que o certificado Sectigo não foi detectado?
O certificado era válido no momento da entrega, e o SmartScreen confia em assinaturas de código válidas. A revogação posterior não protege ambientes que não verificam o status em tempo real.
Qual é o impacto para administradores de VMware?
Para qualquer organização que execute VMware em escala, uma conta de administrador comprometida através deste vetor é essencialmente um cenário de perda total, permitindo acesso administrativo completo à infraestrutura virtual.