Злоумышленники внедрили программу установки, связанную с программным обеспечением для записи видео в зале суда, разработанным Justice AV Solutions (JAVS), для доставки вредоносного ПО, связанного с известным бэкдором под названием RustDoor.
Атака ПО цепочке поставок программного обеспечения, отслеживаемая как CVE-2024-4978, затрагивает JAVS Viewer версии 8.3.7, компонент JAVS Suite 8, который позволяет пользователям создавать, управлять, публиковать и просматривать цифровые записи судебных заседаний, деловых встреч и заседаний городского совета.
Компания по кибербезопасности Rapid7 заявила, что начала расследование ранее в этом месяце после обнаружения вредоносного исполняемого файла под названием "fffmpeg.exe" (обратите внимание на три Fs) в папке установки программного обеспечения Windows, отслеживая его до двоичного файла с именем "JAVS Viewer Setup 8.3.7.250-1.exe", который был загружен с официального сайта JAVS 5 марта 2024 года.
"Анализ настроек программы установки JAVS Viewer 8.3.7.250-1.exe показал, что она была подписана неожиданной подписью Authenticode и содержала двоичный файл fffmpeg.exe", - сказали исследователи Rapid7, добавив, что "наблюдались закодированные сценарии PowerShell, выполняемые двоичным файлом fffmpeg.exe".
Как fffmpeg.exe и установщик был подписан сертификатом authenticode выдан "Авангард техник общества", в противовес "правосудие AV решения Инк," подписание объект, используемый для проверки подлинности законных версий программного обеспечения.
После выполнения fffmpeg.exe устанавливает контакт с сервером командования и контроля (C & C), используя сокеты Windows и запросы WinHTTP, чтобы отправить информацию о скомпрометированном хосте и ожидать дальнейших инструкций от сервера.
Оно также предназначено для запуска запутанных сценариев PowerShell, которые пытаются обойти интерфейс проверки на наличие вредоносных программ (AMSI) и отключить отслеживание событий для Windows (ETW), после чего оно выполняет команду для загрузки дополнительной полезной нагрузки, которая маскируется под установщик для Google Chrome ("chrome_installer.exe ") с удаленного сервера.
Этот двоичный файл, в свою очередь, содержит код для удаления скриптов Python и другого исполняемого файла с именем "main.exe" и запуска последнего с целью сбора учетных данных из веб-браузеров. Анализ Rapid7 "main.exe" обнаружил ошибки в программном обеспечении, которые не позволяли ему работать должным образом.
Ранее в феврале этого года Bitdefender впервые задокументировала, что вредоносное ПО на основе бэкдора RustDoor нацелено на устройства Apple macOS путем имитации обновления для Microsoft Visual Studio в рамках вероятных целевых атак с использованием приманок с предложениями работы.
Последующий анализ, проведенный южнокорейской компанией по кибербезопасности S2W, выявил версию Windows под кодовым названием GateDoor, запрограммированную на Golang.
"Было подтверждено, что RustDoor и GateDoor распространяются под видом обычных обновлений программ или утилит", - отметили позже в том же месяце исследователи S2W Миньеп Чой, Соджун Рю, Себин Ли и Хюсеонг Янг. "RustDoor и GateDoor имеют перекрывающиеся конечные точки, используемые при обмене данными с C & C сервером, и имеют схожие функции".
Имеются инфраструктурные доказательства связи семейства вредоносных программ с аффилированным лицом по программе-вымогателю как услуге (RaaS) под названием ShadowSyndicate. Однако это также повысило вероятность того, что они могли действовать как сообщники, специализирующиеся на предоставлении инфраструктуры другим участникам.
Использование троянского установщика JAVS Viewer для распространения Windows-версии RustDoor ранее также было отмечено S2W 2 апреля 2024 года в сообщении, опубликованном на X (ранее Twitter). В настоящее время неясно, каким образом сайт поставщика был взломан и установщик вредоносного по стал доступен для скачивания.
JAVS в заявлении, предоставленном поставщику средств кибербезопасности, заявила, что выявила "потенциальную проблему безопасности" в JAVS Viewer версии 8.3.7, и что она удалила поврежденную версию с веб-сайта, сбросила все пароли и провела полный аудит своих систем.
"В этом инциденте исходный код JAVS, сертификаты, системы или другие выпуски программного обеспечения не были скомпрометированы", - заявили в американской компании. "Файл, о котором идет речь, не был создан JAVS или какой-либо третьей стороной, связанной с JAVS. Мы настоятельно рекомендуем всем пользователям проверять, что JAVS имеет цифровую подпись на любом программном обеспечении JAVS, которое они устанавливают ".
Пользователям рекомендуется проверить наличие индикаторов компрометации (IoC) и, в случае обнаружения заражения, полностью перезаписать все затронутые конечные точки, сбросить учетные данные и обновить JAVS Viewer до последней версии.
Атака ПО цепочке поставок программного обеспечения, отслеживаемая как CVE-2024-4978, затрагивает JAVS Viewer версии 8.3.7, компонент JAVS Suite 8, который позволяет пользователям создавать, управлять, публиковать и просматривать цифровые записи судебных заседаний, деловых встреч и заседаний городского совета.
Компания по кибербезопасности Rapid7 заявила, что начала расследование ранее в этом месяце после обнаружения вредоносного исполняемого файла под названием "fffmpeg.exe" (обратите внимание на три Fs) в папке установки программного обеспечения Windows, отслеживая его до двоичного файла с именем "JAVS Viewer Setup 8.3.7.250-1.exe", который был загружен с официального сайта JAVS 5 марта 2024 года.
"Анализ настроек программы установки JAVS Viewer 8.3.7.250-1.exe показал, что она была подписана неожиданной подписью Authenticode и содержала двоичный файл fffmpeg.exe", - сказали исследователи Rapid7, добавив, что "наблюдались закодированные сценарии PowerShell, выполняемые двоичным файлом fffmpeg.exe".
Как fffmpeg.exe и установщик был подписан сертификатом authenticode выдан "Авангард техник общества", в противовес "правосудие AV решения Инк," подписание объект, используемый для проверки подлинности законных версий программного обеспечения.
После выполнения fffmpeg.exe устанавливает контакт с сервером командования и контроля (C & C), используя сокеты Windows и запросы WinHTTP, чтобы отправить информацию о скомпрометированном хосте и ожидать дальнейших инструкций от сервера.
Оно также предназначено для запуска запутанных сценариев PowerShell, которые пытаются обойти интерфейс проверки на наличие вредоносных программ (AMSI) и отключить отслеживание событий для Windows (ETW), после чего оно выполняет команду для загрузки дополнительной полезной нагрузки, которая маскируется под установщик для Google Chrome ("chrome_installer.exe ") с удаленного сервера.
Этот двоичный файл, в свою очередь, содержит код для удаления скриптов Python и другого исполняемого файла с именем "main.exe" и запуска последнего с целью сбора учетных данных из веб-браузеров. Анализ Rapid7 "main.exe" обнаружил ошибки в программном обеспечении, которые не позволяли ему работать должным образом.
Ранее в феврале этого года Bitdefender впервые задокументировала, что вредоносное ПО на основе бэкдора RustDoor нацелено на устройства Apple macOS путем имитации обновления для Microsoft Visual Studio в рамках вероятных целевых атак с использованием приманок с предложениями работы.
Последующий анализ, проведенный южнокорейской компанией по кибербезопасности S2W, выявил версию Windows под кодовым названием GateDoor, запрограммированную на Golang.
"Было подтверждено, что RustDoor и GateDoor распространяются под видом обычных обновлений программ или утилит", - отметили позже в том же месяце исследователи S2W Миньеп Чой, Соджун Рю, Себин Ли и Хюсеонг Янг. "RustDoor и GateDoor имеют перекрывающиеся конечные точки, используемые при обмене данными с C & C сервером, и имеют схожие функции".
Имеются инфраструктурные доказательства связи семейства вредоносных программ с аффилированным лицом по программе-вымогателю как услуге (RaaS) под названием ShadowSyndicate. Однако это также повысило вероятность того, что они могли действовать как сообщники, специализирующиеся на предоставлении инфраструктуры другим участникам.
Использование троянского установщика JAVS Viewer для распространения Windows-версии RustDoor ранее также было отмечено S2W 2 апреля 2024 года в сообщении, опубликованном на X (ранее Twitter). В настоящее время неясно, каким образом сайт поставщика был взломан и установщик вредоносного по стал доступен для скачивания.
JAVS в заявлении, предоставленном поставщику средств кибербезопасности, заявила, что выявила "потенциальную проблему безопасности" в JAVS Viewer версии 8.3.7, и что она удалила поврежденную версию с веб-сайта, сбросила все пароли и провела полный аудит своих систем.
"В этом инциденте исходный код JAVS, сертификаты, системы или другие выпуски программного обеспечения не были скомпрометированы", - заявили в американской компании. "Файл, о котором идет речь, не был создан JAVS или какой-либо третьей стороной, связанной с JAVS. Мы настоятельно рекомендуем всем пользователям проверять, что JAVS имеет цифровую подпись на любом программном обеспечении JAVS, которое они устанавливают ".
Пользователям рекомендуется проверить наличие индикаторов компрометации (IoC) и, в случае обнаружения заражения, полностью перезаписать все затронутые конечные точки, сбросить учетные данные и обновить JAVS Viewer до последней версии.
