RVTools公式サイトで有害なインストーラーが見つかる　研究者が警告

nosa

2025.05.20

5月20日：サイバーセキュリティ関連ニュース

RVTools公式サイトで有害なインストーラーが見つかる　研究者が警告

Help Net Security – May 19, 2025

人気ユーティリティRVToolsの公式サイト（Robware.net）がハッキングされ、不正なインストーラーが配布されていたとセキュリティ研究者が警告している。

Rob de Veij氏が開発し、後にDell Technologies社に買収されたRVToolsは、管理者がVMware vSphere環境から情報を収集・分析するのに役立つ無料のWindowsベースユーティリティ。この有害なインストーラーがいつからダウンロード可能になっていたのかは不明だが、公式サイトは16日からオフラインになっている。

その前日の15日には、RVToolsのインストーラーと同じディレクトリ内から実行されようとしていた不審なファイルversion.dllについて、Zeroday Labの研究者Aidan Leon氏が警告していた。このファイルは同社セキュリティチームが高信頼度アラートに対応した13日にMicrosoft Defender for Endpointで検出され、同氏がファイルやWebサイトのマルウェア検査を行うVirusTotalで調べたところ、RVToolsの亜種が初めてVirusTotalに提出されたのは12日、公式サイトが最初に侵害されたのは同日午前8時〜11時の可能性が高いことがわかったという。

この有害なインストーラーには、脅威アクターが初期アクセスの取得やランサムウェアペイロード、ポストエクスプロイトのフレームワーク配信に多用するBumblebeeマルウェアローダーが含まれていたとのこと。サイズも正規のものより大きく、攻撃者は正規版の元の公開ハッシュを変更していなかったとみられている。

RVToolsはVMwareエコシステムで長年にわたって高い評価を得ているため、このツールをオンラインで探すユーザーが常にマルウェア販売者に狙われる事態となっている。こうしたサイバー犯罪者は通常、類似ドメインや悪質なGoogle広告を使い、RVToolsを装ったマルウェアをダウンロードさせようとするものの、今回は同ツールの公式サイトに侵入したと考えられている。

ロシア関連の偽情報が氾濫する中、ルーマニアとポーランドで大統領選を実施

The Record – May 20th, 2025

18日にそれぞれの大統領選挙を実施したルーマニアとポーランドは、投票に先立ってロシアによる偽情報活動が活発化し、同国政府の支援を受ける影響力行使ネットワーク「Doppelgänger」が有権者に揺さぶりをかけていたことを明らかにした。

ルーマニア内務省は16日、遅くとも2022年からヨーロッパで活動しているDoppelgängerが18日の第2回投票を狙い、新たな偽情報キャンペーンを開始したと警告していた。昨年もロシアの介入を受け、大統領選の投票結果を無効としていたルーマニアは、ロシアによる偽情報キャンペーンが目立った4日の第1回投票前にも注意喚起を行っている。

当局によると、Doppelgängerの従来の手法は公的機関やテレビ局、報道機関の公式サイトを偽装するというものだったが、今回の活動はより露骨で、これまでより簡単に検知できたという。投票を前に展開された論調には、ルーマニア政府が国民に対して犯罪を犯したとの非難、根拠のない「大規模な選挙不正」の疑惑、18日の投票がすでにキャンセルされたという主張が含まれていた。

一方、大統領選の第1回投票が行われたポーランドでも、Facebook上で雇われ偽情報キャンペーンが発見されている。その資金は国外から提供されたものとみられ、当局は出どころの詳細を明らかにしなかったものの、キャンペーンの規模の大きさに懸念を表明した。ポーランドで拡散された偽情報は、ウクライナを支持する政府への批判、EU離脱についての賛同、現政権の政策の信用を貶めることに重点が置かれている。

なお、ルーマニアでは親EU派のニクショル・ダン氏が極右系候補に勝利。ポーランドでは18日の投票を経て、EU支持派と右派の両候補が6月の第2回投票に臨む。