Търсене
Close this search box.

Атакуващите са заобиколили инсталатора на широко използвания софтуер за запис на видео в съдебни зали Justice AV Solutions (JAVS) със зловреден софтуер, който им позволява да превземат компрометирани системи.

Компанията, която стои зад този софтуер, известен още като JAVS, твърди, че инструментът за цифров запис в момента има над 10 000 инсталации в много съдебни зали, юридически кантори, изправителни заведения и правителствени агенции по целия свят.

Оттогава JAVS е премахнала компрометираната версия от официалния си уебсайт, като е заявила, че троянският софтуер, съдържащ зловредния двоичен файл fffmpeg.exe, „не произхожда от JAVS или от трета страна, свързана с JAVS“.

Компанията също така извърши пълен одит на всички системи и нулира всички пароли, за да гарантира, че ако бъдат откраднати, те няма да могат да бъдат използвани при бъдещи опити за пробив.

„Чрез непрекъснат мониторинг и сътрудничество с кибернетичните органи установихме опити за подмяна на нашия софтуер Viewer 8.3.7 с компрометиран файл“, заявиха от компанията.

„Потвърдихме, че всички налични в момента файлове на уебсайта JAVS.com са оригинални и не съдържат зловреден софтуер. Освен това потвърдихме, че при този инцидент не са били компрометирани изходният код на JAVS, сертификати, системи или други софтуерни версии.“

Компанията за киберсигурност Rapid7 разследва този инцидент във веригата за доставки (сега проследен като CVE-2024-4978) и установи, че групата за разузнаване на заплахи S2W Talon за първи път е забелязала троянския инсталатор на JAVS в началото на април и го е свързала със зловредния софтуер Rustdoor/GateDoor.

При анализа на един инцидент, свързан с CVE-2024-4978 на 10 май, Rapid7 установи, че зловредният софтуер изпраща системна информация до своя сървър за управление и контрол (C2), след като бъде инсталиран и стартиран.

След това той изпълнява два обфускулирани PowerShell скрипта, които се опитват да деактивират Event Tracing for Windows (ETW) и да заобиколят интерфейса за сканиране на антималуер (AMSI).

След това допълнителен зловреден полезен товар, изтеглен от неговия C2 сървър, пуска Python скриптове, които ще започнат да събират пълномощни, съхранявани в уеб браузърите в системата.

По данни на Rapid7 заднозададеният инсталатор (JAVS.Viewer8.Setup_8.3.7.250-1.exe) – класифициран от много доставчици на услуги за сигурност като дропър за зловреден софтуер – е изтеглен от официалния уебсайт на JAVS.

Всички потенциално компрометирани крайни точки на JAVS се нуждаят от преоформяне

В четвъртък компанията за киберсигурност предупреди клиентите на JAVS да направят реимъдж на всички крайни точки, в които са разположили троянския инсталатор.

За да се гарантира, че достъпът на нападателите е прекъснат, те трябва също така да нулират всички идентификационни данни, използвани за влизане в потенциално компрометираните крайни точки, и да обновят софтуера JAVS Viewer до версия 8.3.9 или по-висока (последната безопасна версия) след реимъринга на системите.

„Простото деинсталиране на софтуера е недостатъчно, тъй като нападателите може да са имплантирали допълнителни задни врати или зловреден софтуер. Повторното визуализиране осигурява чиста страница“, предупреди компанията.

„Пълното реимбурсиране на засегнатите крайни точки и нулирането на свързаните с тях идентификационни данни е от решаващо значение, за да се гарантира, че нападателите не са продължили да действат чрез задни врати или откраднати идентификационни данни.“

През март миналата година производителят на софтуер за видеоконференции 3CX разкри, че неговият базиран на Electron десктоп клиент 3CXDesktopApp също е бил троянизиран при подобна атака от севернокорейска хакерска група, проследена като UNC4736, за разпространение на зловреден софтуер. По време на тази атака участниците в заплахата са използвали злонамерена версия на DLL на ffmpeg.

Преди четири години руската хакерска група APT29 проби вътрешните системи на SolarWinds и проникна в системите на множество американски правителствени агенции, след като инжектира зловреден код в изгражданията на платформата за ИТ администрация SolarWinds Orion, които те изтеглиха между март 2020 г. и юни 2020 г.

 

 

Източник: e-security.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
19/09/2024

AT&T плаща 13 млн. дола...

Американският безжичен оператор AT&T се съгласи...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!