Atacatorii au compromis instalatorul software-ului de înregistrare video pentru săli de judecată, Justice AV Solutions (JAVS), cu malware care le permite să preia controlul sistemelor compromise.
Compania din spatele acestui software, cunoscută și sub numele de JAVS, afirmă că instrumentul său de înregistrare digitală are în prezent peste 10.000 de instalări în multe săli de judecată, birouri juridice, centre de corecție și agenții guvernamentale din întreaga lume.
JAVS a eliminat versiunea compromisă de pe site-ul său oficial, declarând că software-ul troianizat, care conținea un fișier binar malițios fffmpeg.exe, „nu provine de la JAVS sau de la vreun terț asociat cu JAVS.”
Compania a efectuat, de asemenea, un audit complet al tuturor sistemelor și a resetat toate parolele pentru a se asigura că, dacă au fost furate, acestea nu pot fi utilizate în încercările viitoare de încălcare a securității.
„Prin monitorizarea continuă și colaborarea cu autoritățile cibernetice, am identificat încercări de a înlocui software-ul nostru Viewer 8.3.7 cu un fișier compromis”, a declarat compania.
„Am confirmat că toate fișierele disponibile în prezent pe site-ul JAVS.com sunt autentice și fără malware. Am verificat, de asemenea, că niciun cod sursă, certificat, sistem sau altă versiune de software JAVS nu a fost compromisă în acest incident.”
Compania de securitate cibernetică Rapid7 a investigat acest incident de lanț de aprovizionare (acum urmărit ca CVE-2024-4978) și a constatat că grupul de informații privind amenințările S2W Talon a observat pentru prima dată instalatorul troianizat JAVS la începutul lunii aprilie și l-a legat de malware-ul Rustdoor/GateDoor.
În timpul analizei unui incident legat de CVE-2024-4978 pe 10 mai, Rapid7 a descoperit că malware-ul trimite informații despre sistem către serverul său de comandă și control (C2) după ce este instalat și lansat.
Apoi, execută două scripturi PowerShell ofuscate care încearcă să dezactiveze Event Tracing for Windows (ETW) și să ocolească Anti-Malware Scan Interface (AMSI).
Următoarea sarcină malițioasă descărcată de pe serverul C2 instalează scripturi Python care încep să colecteze acreditările stocate în browserele web de pe sistem.
Conform Rapid7, instalatorul compromis (JAVS.Viewer8.Setup_8.3.7.250-1.exe)—clasificat de mulți furnizori de securitate ca un distribuitor de malware— a fost descărcat de pe site-ul oficial JAVS.
Toate punctele finale JAVS potențial compromise necesită reimaginare
Joi, compania de securitate cibernetică a avertizat clienții JAVS să reimagineze toate punctele finale unde au instalat instalatorul troianizat.
Pentru a se asigura că accesul atacatorilor este întrerupt, ar trebui să reseteze toate acreditările utilizate pentru a se conecta la punctele finale potențial compromise și să actualizeze software-ul JAVS Viewer la versiunea 8.3.9 sau mai nouă (ultima versiune sigură) după reimaginarea sistemelor.
„Simpla dezinstalare a software-ului nu este suficientă, deoarece atacatorii ar fi putut implanta backdoor-uri sau malware suplimentar. Reimaginarea oferă o bază curată,” a avertizat compania.
„Reimaginarea completă a punctelor finale afectate și resetarea acreditărilor asociate este esențială pentru a se asigura că atacatorii nu au persistat prin backdoor-uri sau acreditări furate.”
În martie anul trecut, producătorul de software de videoconferință 3CX a dezvăluit că clientul său desktop 3CXDesktopApp, bazat pe Electron, a fost și el troianizat într-un atac similar de un grup de hackeri nord-coreeni urmărit ca UNC4736 pentru a distribui malware. În timpul acelui atac, actorii de amenințare au folosit o versiune malițioasă a unei biblioteci DLL ffmpeg.
Acum patru ani, grupul de hacking rus APT29 a compromis sistemele interne ale SolarWinds și a infiltrat sistemele mai multor agenții guvernamentale din SUA după ce a injectat cod malițios în versiunile platformei de administrare IT SolarWinds Orion descărcate între martie 2020 și iunie 2020.
Un purtător de cuvânt al JAVS nu a fost disponibil imediat pentru comentarii când a fost contactat de BleepingComputer pentru mai multe informații despre momentul în care a fost detectată încălcarea și câți clienți au fost afectați, dacă a fost cazul.
