Търсене
Close this search box.

Софтуерът за запис в съдебната зала на JAVS е подложен на атака по веригата за доставки

Атакуващите са заобиколили инсталатора на широко използвания софтуер за запис на видео в съдебни зали Justice AV Solutions (JAVS) със зловреден софтуер, който им позволява да превземат компрометирани системи.

Компанията, която стои зад този софтуер, известен още като JAVS, твърди, че инструментът за цифров запис в момента има над 10 000 инсталации в много съдебни зали, юридически кантори, изправителни заведения и правителствени агенции по целия свят.

Оттогава JAVS е премахнала компрометираната версия от официалния си уебсайт, като е заявила, че троянският софтуер, съдържащ зловредния двоичен файл fffmpeg.exe, „не произхожда от JAVS или от трета страна, свързана с JAVS“.

Компанията също така извърши пълен одит на всички системи и нулира всички пароли, за да гарантира, че ако бъдат откраднати, те няма да могат да бъдат използвани при бъдещи опити за пробив.

„Чрез непрекъснат мониторинг и сътрудничество с кибернетичните органи установихме опити за подмяна на нашия софтуер Viewer 8.3.7 с компрометиран файл“, заявиха от компанията.

„Потвърдихме, че всички налични в момента файлове на уебсайта JAVS.com са оригинални и не съдържат зловреден софтуер. Освен това потвърдихме, че при този инцидент не са били компрометирани изходният код на JAVS, сертификати, системи или други софтуерни версии.“

Компанията за киберсигурност Rapid7 разследва този инцидент във веригата за доставки (сега проследен като CVE-2024-4978) и установи, че групата за разузнаване на заплахи S2W Talon за първи път е забелязала троянския инсталатор на JAVS в началото на април и го е свързала със зловредния софтуер Rustdoor/GateDoor.

При анализа на един инцидент, свързан с CVE-2024-4978 на 10 май, Rapid7 установи, че зловредният софтуер изпраща системна информация до своя сървър за управление и контрол (C2), след като бъде инсталиран и стартиран.

След това той изпълнява два обфускулирани PowerShell скрипта, които се опитват да деактивират Event Tracing for Windows (ETW) и да заобиколят интерфейса за сканиране на антималуер (AMSI).

След това допълнителен зловреден полезен товар, изтеглен от неговия C2 сървър, пуска Python скриптове, които ще започнат да събират пълномощни, съхранявани в уеб браузърите в системата.

По данни на Rapid7 заднозададеният инсталатор (JAVS.Viewer8.Setup_8.3.7.250-1.exe) – класифициран от много доставчици на услуги за сигурност като дропър за зловреден софтуер – е изтеглен от официалния уебсайт на JAVS.

Всички потенциално компрометирани крайни точки на JAVS се нуждаят от преоформяне

В четвъртък компанията за киберсигурност предупреди клиентите на JAVS да направят реимъдж на всички крайни точки, в които са разположили троянския инсталатор.

За да се гарантира, че достъпът на нападателите е прекъснат, те трябва също така да нулират всички идентификационни данни, използвани за влизане в потенциално компрометираните крайни точки, и да обновят софтуера JAVS Viewer до версия 8.3.9 или по-висока (последната безопасна версия) след реимъринга на системите.

„Простото деинсталиране на софтуера е недостатъчно, тъй като нападателите може да са имплантирали допълнителни задни врати или зловреден софтуер. Повторното визуализиране осигурява чиста страница“, предупреди компанията.

„Пълното реимбурсиране на засегнатите крайни точки и нулирането на свързаните с тях идентификационни данни е от решаващо значение, за да се гарантира, че нападателите не са продължили да действат чрез задни врати или откраднати идентификационни данни.“

През март миналата година производителят на софтуер за видеоконференции 3CX разкри, че неговият базиран на Electron десктоп клиент 3CXDesktopApp също е бил троянизиран при подобна атака от севернокорейска хакерска група, проследена като UNC4736, за разпространение на зловреден софтуер. По време на тази атака участниците в заплахата са използвали злонамерена версия на DLL на ffmpeg.

Преди четири години руската хакерска група APT29 проби вътрешните системи на SolarWinds и проникна в системите на множество американски правителствени агенции, след като инжектира зловреден код в изгражданията на платформата за ИТ администрация SolarWinds Orion, които те изтеглиха между март 2020 г. и юни 2020 г.

 

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
Бъдете социални
Още по темата
22/05/2024

QNAP бърза с поправката за ...

Тайванската компания QNAP Systems пусна във...
21/05/2024

Уязвимост на Fluent Bit за...

Критична уязвимост на Fluent Bit, която...
15/04/2024

Хакер твърди, че е пробил G...

Канадската верига за търговия на дребно...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!