Атакуващите са заобиколили инсталатора на широко използвания софтуер за запис на видео в съдебни зали Justice AV Solutions (JAVS) със зловреден софтуер, който им позволява да превземат компрометирани системи.
Компанията, която стои зад този софтуер, известен още като JAVS, твърди, че инструментът за цифров запис в момента има над 10 000 инсталации в много съдебни зали, юридически кантори, изправителни заведения и правителствени агенции по целия свят.
Оттогава JAVS е премахнала компрометираната версия от официалния си уебсайт, като е заявила, че троянският софтуер, съдържащ зловредния двоичен файл fffmpeg.exe, „не произхожда от JAVS или от трета страна, свързана с JAVS“.
Компанията също така извърши пълен одит на всички системи и нулира всички пароли, за да гарантира, че ако бъдат откраднати, те няма да могат да бъдат използвани при бъдещи опити за пробив.
„Чрез непрекъснат мониторинг и сътрудничество с кибернетичните органи установихме опити за подмяна на нашия софтуер Viewer 8.3.7 с компрометиран файл“, заявиха от компанията.
„Потвърдихме, че всички налични в момента файлове на уебсайта JAVS.com са оригинални и не съдържат зловреден софтуер. Освен това потвърдихме, че при този инцидент не са били компрометирани изходният код на JAVS, сертификати, системи или други софтуерни версии.“
Компанията за киберсигурност Rapid7 разследва този инцидент във веригата за доставки (сега проследен като CVE-2024-4978) и установи, че групата за разузнаване на заплахи S2W Talon за първи път е забелязала троянския инсталатор на JAVS в началото на април и го е свързала със зловредния софтуер Rustdoor/GateDoor.
При анализа на един инцидент, свързан с CVE-2024-4978 на 10 май, Rapid7 установи, че зловредният софтуер изпраща системна информация до своя сървър за управление и контрол (C2), след като бъде инсталиран и стартиран.
След това той изпълнява два обфускулирани PowerShell скрипта, които се опитват да деактивират Event Tracing for Windows (ETW) и да заобиколят интерфейса за сканиране на антималуер (AMSI).
След това допълнителен зловреден полезен товар, изтеглен от неговия C2 сървър, пуска Python скриптове, които ще започнат да събират пълномощни, съхранявани в уеб браузърите в системата.
По данни на Rapid7 заднозададеният инсталатор (JAVS.Viewer8.Setup_8.3.7.250-1.exe) – класифициран от много доставчици на услуги за сигурност като дропър за зловреден софтуер – е изтеглен от официалния уебсайт на JAVS.
В четвъртък компанията за киберсигурност предупреди клиентите на JAVS да направят реимъдж на всички крайни точки, в които са разположили троянския инсталатор.
За да се гарантира, че достъпът на нападателите е прекъснат, те трябва също така да нулират всички идентификационни данни, използвани за влизане в потенциално компрометираните крайни точки, и да обновят софтуера JAVS Viewer до версия 8.3.9 или по-висока (последната безопасна версия) след реимъринга на системите.
„Простото деинсталиране на софтуера е недостатъчно, тъй като нападателите може да са имплантирали допълнителни задни врати или зловреден софтуер. Повторното визуализиране осигурява чиста страница“, предупреди компанията.
„Пълното реимбурсиране на засегнатите крайни точки и нулирането на свързаните с тях идентификационни данни е от решаващо значение, за да се гарантира, че нападателите не са продължили да действат чрез задни врати или откраднати идентификационни данни.“
През март миналата година производителят на софтуер за видеоконференции 3CX разкри, че неговият базиран на Electron десктоп клиент 3CXDesktopApp също е бил троянизиран при подобна атака от севернокорейска хакерска група, проследена като UNC4736, за разпространение на зловреден софтуер. По време на тази атака участниците в заплахата са използвали злонамерена версия на DLL на ffmpeg.
Преди четири години руската хакерска група APT29 проби вътрешните системи на SolarWinds и проникна в системите на множество американски правителствени агенции, след като инжектира зловреден код в изгражданията на платформата за ИТ администрация SolarWinds Orion, които те изтеглиха между март 2020 г. и юни 2020 г.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.