Bilgisayar korsanları, bir yazılım güncellemesine yerleştirilen bir arka kapı aracılığıyla sistemlerin tam kontrolünü ele geçirmek için dünyanın dört bir yanındaki hapishanelerde ve cezaevlerinde kullanılan popüler bir mahkeme salonu kayıt platformunu tehlikeye attı.
Justice AV Solutions (JAVS) yazılımı, dünya çapında 10.000’den fazla kurulumla konferanslar, mahkeme duruşmaları ve konsey toplantıları gibi etkinlikleri kaydeder. Kullanıcılar bunu satıcının web sitesi aracılığıyla Windows tabanlı bir yükleyici paketi olarak indirebilir.
Bu hafta şirket, JAVS Viewer yazılımının önceki bir sürümünde bir güvenlik sorunu tespit ettiğini duyurdu. Şirket Perşembe günü yaptığı açıklamada, “Siber yetkililerle devam eden izleme ve işbirliği sayesinde Viewer 8.3.7 yazılımımızı tehlikeye atılmış bir dosyayla değiştirme girişimlerini tespit ettik.”
JAVS, Viewer 8.3.7’nin tüm sürümlerini web sitesinden kaldırdı, tüm şifreleri sıfırladı ve sistemlerinde tam bir iç denetim gerçekleştirdi. Şirket, JAVS web sitesinde şu anda mevcut olan tüm dosyaların orijinal olduğunu ve kötü amaçlı yazılım içermediğini doğruladı. Ayrıca hiçbir JAVS kaynak kodunun, sertifikasının, sisteminin veya diğer yazılım sürümünün tehlikeye atılmadığını da doğruladı.
Kötü amaçlı yazılım içeren kötü amaçlı dosya, JAVS’den veya ilişkili herhangi bir üçüncü taraftan kaynaklanmamıştır. Şirket, önlem olarak kullanıcıları yükledikleri JAVS yazılımının şirket tarafından dijital olarak imzalandığını doğrulamaya çağırdı.
“‘Fffmeg.exe’ dosyasını manuel olarak kontrol edin: Kötü amaçlı dosya bulunursa veya algılanırsa, bilgisayarın tamamen yeniden görüntüsünün alınmasını ve kullanıcı tarafından o bilgisayarda kullanılan tüm kimlik bilgilerinin sıfırlanmasını öneririz.”
Viewer 8.3.7.250 şu anda yüklü olan sürümse ancak kötü amaçlı dosya bulunamazsa, JAVS, Viewer yazılımının kaldırılmasını ve tam bir Anti-Virüs/kötü amaçlı yazılım taraması yapılmasını önerdi. Şirket, “Lütfen Viewer 8’in daha yeni bir sürümüne yükseltme yapmadan önce etkilenen sistemde kullanılan tüm şifreleri sıfırlayın” tavsiyesinde bulundu.
Siber güvenlik firması Rapid7 sorunu analiz etti ve medya ve günlük dosyalarını açan bozuk JAVS Viewer yazılımının, saldırganlara etkilenen sistemlere tam erişim sağlayan arka kapılı bir yükleyici içerdiğini buldu.
Açık kaynak istihbaratına dayanarak Rapid7, ikili sistemin fffmpeg.exe GateDoor ve Rustdoor kötü amaçlı yazılım ailesiyle ilişkilidir. Bu kötü amaçlı yazılımlar bilgi toplamak, ek dosyalar indirmek ve komutları yürütmek gibi kötü amaçlı eylemler gerçekleştirir.
RustDoor arka kapı işlevlerine odaklanır, ancak GateDoor’un birçok yükleyici işlevi vardır. Arka kapıları ilk kez gözlemleyen şirket S2W, “İki kötü amaçlı yazılım tarafından kullanılan altyapı, ShadowSyndicate adlı bir RaaS bağlı kuruluşuyla ilişkili gibi görünüyor ve bunların altyapı sağlama konusunda uzmanlaşmış siber suç işbirlikçileri olma olasılığı göz ardı edilemez” dedi. Şubat.
Rapid7, sorunu CVE-2024-4978 olarak takip etti ve açıklamayı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ile koordine etti.
Rapid7, yazılımın kötü amaçlı sürümlerinin Londra merkezli olduğu iddia edilen “Vanguard Tech Limited” tarafından imzalandığını kaydetti. Rapid7, tavsiye niteliğindeki duyurusunda, kullanıcıları, yazılımın yüklendiği tüm uç noktaların görüntülerini yeniden oluşturmaya ve web tarayıcılarındaki ve hem yerel hem de uzak, etkilenen uç noktalarda oturum açan tüm hesaplardaki kimlik bilgilerini sıfırlamaya çağırdı.
“Saldırganlar ek arka kapılar veya kötü amaçlı yazılım yerleştirmiş olabileceğinden, yazılımın kaldırılması yeterli değildir. Yeniden görüntüleme temiz bir sayfa sağlar,” diye tavsiyede bulundu Rapid7.
Sorun ilk olarak Nisan ayında X platformunda (eski adıyla Twitter) bir tehdit istihbaratı araştırmacısının “kötü amaçlı yazılımın JAVS’ın resmi web sitesinde barındırıldığını” iddia etmesiyle ortaya çıktı.
10 Mayıs’ta Rapid7, bir müşterinin sistemindeki bir uyarıya yanıt verdi ve enfeksiyonun izini JAVS web sitesinden indirilen bir yükleyiciye kadar takip etti. Kurban tarafından indirilen kötü amaçlı dosya artık web sitesinde bulunmuyor ve onu kimin kaldırdığı belli değil.
Birkaç gün sonra araştırmacılar, JAVS web sitesinde kötü amaçlı yazılım içeren farklı bir yükleyici dosyası buldular ve bu dosya, ilk bulaşmanın kaynağının satıcı site olduğunu doğruladı. JAVS, bulguları ile Rapid7’nin analizi arasındaki tutarsızlık hakkında yorum yapmadı.