Kwaadwillige actoren hebben het installatieprogramma dat is gekoppeld aan video-opnamesoftware in de rechtszaal, ontwikkeld door Justice AV Solutions (JAVS), achter de deur gezet om malware af te leveren die is gekoppeld aan een bekende achterdeur genaamd RoestDeur.
De software supply chain-aanval, gevolgd als CVE-2024-4978heeft invloed op JAVS Viewer v8.3.7, een onderdeel van de JAVS Suite 8 waarmee gebruikers digitale opnames van rechtszaalprocedures, zakelijke bijeenkomsten en gemeenteraadszittingen kunnen maken, beheren, publiceren en bekijken.
Cyberbeveiligingsbedrijf Rapid7 zei dat het eerder deze maand een onderzoek was begonnen nadat het een kwaadaardig uitvoerbaar bestand met de naam “fffmpeg.exe” (let op de drie F's) had ontdekt in de Windows-installatiemap van de software, en het herleidde naar een binair bestand met de naam “JAVS Viewer Setup 8.3.7.250 -1.exe” dat op 5 maart 2024 werd gedownload van de officiële JAVS-site.
“Analyse van het installatieprogramma JAVS Viewer Setup 8.3.7.250-1.exe toonde aan dat het was ondertekend met een onverwachte Authenticode-handtekening en het binaire bestand fffmpeg.exe bevatte”, zeiden onderzoekers van Rapid7, eraan toevoegend dat “geobserveerde gecodeerde PowerShell-scripts werden uitgevoerd door het binaire bestand fffmpeg.exe.”
Zowel fffmpeg.exe als het installatieprogramma zijn ondertekend door een Authenticode-certificaat uitgegeven aan “Vanguard Tech Limited”, in tegenstelling tot “Justice AV Solutions Inc”, de ondertekenende entiteit die wordt gebruikt om de legitieme versies van de software te authenticeren.
Bij uitvoering maakt fffmpeg.exe contact met een command-and-control (C&C)-server met behulp van Windows-sockets en WinHTTP-verzoeken om informatie over de aangetaste host te verzenden en te wachten op verdere instructies van de server.
Het is ook ontworpen om versluierde PowerShell-scripts uit te voeren die proberen de Antimalware Scan Interface (AMSI) te omzeilen en Event Tracing for Windows (ETW) uit te schakelen, waarna het een opdracht uitvoert om een extra payload te downloaden die zich voordoet als een installatieprogramma voor Google Chrome (“chrome_installer .exe”) vanaf een externe server.
Dit binaire bestand bevat op zijn beurt code om Python-scripts en een ander uitvoerbaar bestand genaamd “main.exe” te verwijderen en deze laatste te starten met als doel inloggegevens van webbrowsers te verzamelen. Rapid7's analyse van “main.exe” bracht softwarefouten aan het licht die verhinderden dat het correct werkte.
RustDoor, een op Rust gebaseerde achterdeur-malware, werd eerder dit jaar voor het eerst gedocumenteerd door Bitdefender als doelwit voor Apple macOS-apparaten door een update voor Microsoft Visual Studio na te bootsen als onderdeel van waarschijnlijk gerichte aanvallen met behulp van lokaas voor vacatures.
Daaropvolgende analyse door het Zuid-Koreaanse cyberbeveiligingsbedrijf S2W bracht een Windows-versie met de codenaam GateDoor aan het licht die in Golang is geprogrammeerd.
“Er is bevestigd dat zowel RustDoor als GateDoor worden gedistribueerd onder het mom van normale programma-updates of hulpprogramma's”, merkten S2W-onderzoekers Minyeop Choi, Sojun Ryu, Sebin Lee en HuiSeong Yang later die maand op. “RustDoor en GateDoor hebben overlappende eindpunten die worden gebruikt bij de communicatie met de C&C-server en hebben vergelijkbare functies.”
Er is infrastructuurbewijs om de malwarefamilie te verbinden met een ransomware-as-a-service (RaaS)-filiaal genaamd ShadowSyndicate. Het heeft echter ook de mogelijkheid geopperd dat zij zouden kunnen optreden als een samenwerkingspartner die gespecialiseerd is in het leveren van infrastructuur aan andere actoren.
Het gebruik van een getrojaniseerd JAVS Viewer-installatieprogramma om een Windows-versie van RustDoor te distribueren, werd eerder ook door S2W op 2 april 2024 gemarkeerd in een bericht dat werd gedeeld op X (voorheen Twitter). Het is momenteel niet duidelijk hoe de site van de leverancier werd gehackt en hoe een kwaadaardig installatieprogramma beschikbaar kwam om te downloaden.
JAVS zei in een verklaring aan de cyberbeveiligingsleverancier dat het een “potentieel beveiligingsprobleem” heeft geïdentificeerd met JAVS Viewer versie 8.3.7, en dat het de getroffen versie van de website heeft gehaald, alle wachtwoorden opnieuw heeft ingesteld en een volledige audit van zijn systeem heeft uitgevoerd. systemen.
“Er zijn bij dit incident geen JAVS-broncode, certificaten, systemen of andere softwareversies gecompromitteerd”, aldus het Amerikaanse bedrijf. “Het bestand in kwestie is niet afkomstig van JAVS of een derde partij die geassocieerd is met JAVS. We raden alle gebruikers ten zeerste aan om te verifiëren dat JAVS alle JAVS-software die ze installeren digitaal heeft ondertekend.”
Gebruikers wordt geadviseerd om te controleren op indicatoren van compromissen (IoC's) en als ze geïnfecteerd blijken te zijn, moeten ze alle betrokken eindpunten volledig opnieuw imagen, de inloggegevens opnieuw instellen en updaten naar de nieuwste versie van JAVS Viewer.
