Поддельный RVTools доставляет Python RAT с помощью подписанного MSI
Недавний analysis выявил сложную вредоносную кампанию, в которой attackers использовали signed fake installer, маскирующийся под RVTools — widely used utility for VMware administrators. По данным исследования, файл демонстрировал крайне low detection rates в VirusTotal, что указывает на deliberate design to bypass security controls.
Особую опасность этой scheme усиливал тот факт, что malware был embedded в MSI file, подписанный valid certificate от Sectigo. Позже certificate был revoked, однако на момент первой delivery он мог создать у potential victims ложное чувство trust, особенно на systems без real-time checks.
Многоэтапная execution chain
После запуска installer разворачивал multi-stage execution flow. Первым элементом выступал VBScript loader, спрятанный в binary data MSI. Скрипт был obfuscated для avoidance of detection и отвечал за загрузку main payload через Dropbox.
Загружаемый archive winp.zip содержал modular Python RAT, а также legitimate development tools — в том числе VS Code и Jupyter Lab. Такой подход позволял скрывать malicious components внутри seemingly benign files.
Разведка и сбор данных
На начальной стадии кампания делала ставку на reconnaissance. За это отвечал модуль collector.py, который собирал extensive system information, включая Active Directory configurations.
Для скрытного выполнения злоумышленники манипулировали Windows launch flags, уменьшая вероятность обнаружения активности. Собранные данные сохранялись в JSON file, что позволяло attackers анализировать:
- organizational structure;
- user privilege levels;
- возможные пути lateral movement;
- сценарии privilege escalation.
Такая информация особенно ценна для подготовки последующих атак и получения более широкого доступа к инфраструктуре.
Управление заражённой системой и persistence
Для сохранения контроля над compromised host вредоносное ПО использовало отдельный модуль Pmanager.py. Он обеспечивал постоянный доступ к системе и координацию действий operators.
Для связи с command-and-control server применялось шифрование RC4. Это позволяло скрывать reconnaissance data перед exfiltration и получать дальнейшие commands от attacker-controlled infrastructure.
Исследователи также отметили использование нескольких hardcoded IP addresses, что повышало устойчивость communication channel. Кроме того, malware внедрял mechanisms for persistence:
- создание registry entries;
- добавление scheduled tasks;
- закрепление присутствия после reboot.
Риски для VMware-инфраструктур
По оценке аналитиков, операторы кампании создали sophisticated attack framework, представляющий серьезную угрозу для organizations, использующих VMware. Наибольшую опасность несет возможность получения full administrative access через compromised credentials.
Сочетание legitimate certificate, execution evasion techniques и modular architecture демонстрирует устойчивый тренд в development of malware: акцент смещается в сторону stealth, persistence и глубокого закрепления в инфраструктуре.
Использование подписанного installer, скрытого VBScript и легитимных development tools внутри payload показывает, насколько далеко злоумышленники продвинулись в маскировке атак под обычное software.
Эксперты считают, что подобные кампании требуют особого внимания со стороны security teams, особенно в средах, где VMware и related administrative tools используются повсеместно. В таких условиях даже один убедительный installer может стать точкой входа в корпоративную сеть.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
