Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Arka Kapılı Yükleyici Tam, Uzaktan Devralmayı Kolaylaştırıyor, Justice AV Solutions Uyardı
Mathew J. Schwartz (euroinfosec) •
24 Mayıs 2024
Saldırganlar, dünya çapında mahkeme salonlarında, sınıflarda, sorgu odalarında ve ötesinde yaygın olarak kullanılan görsel-işitsel kayıt yazılımına bir arka kapı ekledi.
Ayrıca bakınız: Canlı Web Semineri | Dijital Doppelgängers: Deepfake Teknolojisinin İkili Yüzü
Saldırganların, iş toplantıları ve belediye meclisi oturumları da dahil olmak üzere “kritik toplantı senaryolarının dijital kayıtlarını oluşturmak, yönetmek, yayınlamak ve görüntülemek için” kullanılan yazılım sağlayıcısı JAVS adlı Louisville, Kentucky merkezli AV Solutions’a bir tedarik zinciri saldırısı düzenlediği anlaşılıyor. .
Bilgisayar korsanları, şirketin imzalı yazılımının meşru bir sürümünü arka kapılı bir sürümle değiştirdi ve ardından yükleyiciyi başka bir şirketin adına geçerli bir sertifika kullanarak imzaladı.
Güvenlik uzmanları, JAVS yazılımının tüm kullanıcılarının, tehlike belirtileri açısından ortamlarını derhal gözden geçirmesi, etkilenen uç noktaları silmeleri ve bu uç noktaların kullanmış olabileceği tüm kimlik bilgilerini sıfırlamaları gerektiğini söylüyor. Şirket, şu anda Javs.com’da bulunan indirilebilir dosyaların “orijinal ve kötü amaçlı yazılım içermediğini” taahhüt etti. “Bu olayda hiçbir JAVS kaynak kodunun, sertifikasının, sisteminin veya diğer yazılım sürümünün tehlikeye atılmadığını da doğruladık.”
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, yazılımdaki CVE-2024-4978 olarak adlandırılan güvenlik açığının, bir saldırgan tarafından uç noktayı tamamen tehlikeye atmak için uzaktan kullanılabileceğini söyledi.
Kusuru bağımsız olarak keşfeden ve bunu “hızlı yanıt” nedeniyle övdüğü CISA ve JAVS’a bildiren güvenlik firması Rapid7, arka kapının bir cihazdaki tüm kötü amaçlı yazılım önleme kontrollerini devre dışı bırakmaya çalıştığını söyledi. Arka kapılı sürüm, cihazda depolanan tarayıcı kimlik bilgilerini kazıma ve bunları bir komuta ve kontrol sunucusuna aktarma yeteneği gibi bilgi çalma yeteneklerini içerir.
JAVS’ın web sitesinde “dünya çapında binlerce mahkemenin” kayıt sistemlerini kullandığı belirtiliyor.
Şirket, “Devam eden izleme ve siber yetkililerle işbirliği yoluyla, Viewer 8.3.7 yazılımımızı güvenliği ihlal edilmiş bir dosyayla değiştirme girişimlerini tespit ettik” dedi. “Viewer 8.3.7’nin tüm sürümlerini JAVS web sitesinden aldık, tüm şifreleri sıfırladık ve tüm JAVS sistemlerinin tam bir iç denetimini gerçekleştirdik.
Satıcı, tüm müşterilere JAVS Viewer yazılımlarını 8.3.9 veya daha yüksek bir sürüme güncelleyerek yama yapmalarını ve kötü amaçlı arka kapı dosyasının varlığına karşı BT ortamlarını incelemelerini tavsiye ediyor fffmpeg.exe
. Yasal yükleyicide bulunan bir dosyanın adını taklit edecek şekilde tasarlanmıştır. ffmpeg.exe
. Kötü amaçlı dosya adında üç F bulunurken, meşru sürümde yalnızca iki F bulunur.
Rapid7’ye sağlanan bir güvenlik uyarısında şirket, “Kötü amaçlı dosya bulunursa veya tespit edilirse, bilgisayarın tam görüntüsünün yeniden oluşturulmasını ve kullanıcı tarafından o bilgisayarda kullanılan tüm kimlik bilgilerinin sıfırlanmasını öneririz.” dedi. Taramalar arka kapıyı ortaya çıkarmasa bile şirket, en son sürüme yükseltmeden önce Viewer’ın kaldırılmasını, antivirüs taraması yapılmasını ve şifrelerin güncellenmesini öneriyor.
Rapid7, 8.3.7 sürümünü çalıştıran kuruluşların, yazılımın yüklü olduğu her uç noktanın yeniden görüntülenmesi de dahil olmak üzere bu adımları “hemen” atması gerektiğini söyledi. “Saldırganlar ek arka kapılar veya kötü amaçlı yazılım yerleştirmiş olabileceğinden yazılımın kaldırılması yeterli değildir” dedi. “Yeniden görüntüleme temiz bir sayfa sağlar.”
Uç noktanın ele alındığı herhangi bir hesabın kimlik bilgilerinin de değiştirilmesi gerekir. Rapid7, “Bu, uç noktadaki yerel hesapların yanı sıra JAVS Viewer 8.3.7’nin kurulduğu dönemde erişilen tüm uzak hesapları da içeriyor” dedi. Saldırganlar “çerezleri, saklanan şifreleri veya diğer hassas bilgileri çalmak için” tarayıcı oturumlarını ele geçirmiş olabileceğinden, web tarayıcılarına girilen veya web tarayıcılarında saklanan tüm kimlik bilgilerinin de değiştirilmesi gerekir.
Kötü Amaçlı Yazılım Şubat’ta İmzalandı
Saldırı ilk olarak X sosyal ağ hesabı sahibi 2RunJack2 tarafından fark edilmiş gibi görünüyor; bu kişi, 2 Nisan’da hem RustDoor hem de GateDoor kötü amaçlı yazılımlarının özelliklerini harmanlayan Windows için kötü amaçlı kodun dağıtıldığını yayınlamıştı. 2RunJack2, “Kötü amaçlı yazılım JAVS’ın resmi web sitesinde barındırılıyor” dedi. “Dosya Viewer 8.3.7 Kurulum Yürütülebilir Dosyası – Sürüm 8.3.7’dir ve bu dosya geçerli bir sertifikayla birlikte gelir.”
2RunJack2’nin satıcıya bildirimde bulunup bulunmadığı net değil.
Rapid7’yi tedarik zinciri saldırısını tanımlamaya yönlendiren olaylar zinciri, 10 Mayıs’ta bir uyarının tespit ve yanıt analistinin müşterinin ortamındaki kötü amaçlı yazılımı keşfetmesine yol açmasıyla başladı ve firma bunu resmi JAVS indirme sitesine kadar takip etti. Rapid7’nin kıdemli kötü amaçlı yazılım analisti Thomas Elkins, Information Security Media Group’a şöyle konuştu: “Kullanıcının Google’da görüntüleyici yazılımı aradığını ve bu yazılımın onları resmi JAVS web sitesine yönlendirdiğini görüyoruz.” Arka kapılı indirici artık satıcının sitesinde barındırılmıyor, ancak güvenlik firması satıcının mı yoksa saldırganın mı kaldırdığının net olmadığını söyledi.
Rapid7, 13 Mayıs’ta “hala resmi satıcı sitesi tarafından hizmet verilen” ikinci bir JAVS yükleyicisinin de arka kapıdan etkilendiğini bulduğunu söyledi. “Bu, satıcı sitenin ilk enfeksiyonun kaynağı olduğunu doğruluyor” dedi.
Rapid7, yazılımın arka kapılı versiyonunun resmi “Justice AV Solutions Inc” sertifikasıyla değil, sertifikanın Londra merkezli olduğunu belirten Vanguard Tech Limited adına verilen bir Authenticode sertifikasıyla imzalandığını söyledi. Vanguard sertifikası 10 Şubat’ta yayınlandı ve en azından şu ana kadar bulunan iki farklı kötü amaçlı JAVS Viewer paketinden ilkinin 21 Şubat’ta sertifikayla imzalandığı belirtildi.
Yükleyici, kötü amaçlı yazılımlar da dahil olmak üzere birden fazla dosya içeriyor fffmpeg.exe
Rapid7, saldırganlara uzaktan erişim sağlamak ve “ana bilgisayar adı, işletim sistemi ayrıntıları, işlemci mimarisi, program çalışma dizini ve kullanıcı adı dahil olmak üzere tehlikeye atılan ana bilgisayar hakkındaki verileri” saldırganın kontrol ettiği bir sunucuya iletmek için tasarlandığını söyledi.
Bir uç noktaya bulaştıktan sonra, arka kapılı yazılımın iki farklı sabit kodlu IP adresi aracılığıyla eve bir komut ve kontrol sunucusuna telefon etmeye çalıştığı belirtildi. Sunucu yöneticisinin virüslü uç noktalara dağıtılmak üzere yeni, kötü amaçlı ikili dosyalar yüklemesine göre C2 sunucusu en az 17 Mayıs’a kadar aktif kalmış gibi görünüyor.
GateDoor/RustDoor Kötü Amaçlı Yazılımına Dayalı
Birçok araştırmacı, kötü amaçlı arka kapının GateDoor ve RustDoor kötü amaçlı yazılımlarına dayandığını bildirdi.
Güvenlik firması Bitdefender, Şubat ayında, meşru yazılım indirme siteleri aracılığıyla dağıtılan ve macOS sistemlerine bulaşmak için kullanılan RustDoor’u (Rust’ta yazıldığı için bu şekilde adlandırılmıştır) ilk kez ayrıntılarıyla anlattı. Kötü amaçlı yazılımın kullandığı altyapının iki fidye yazılımı operasyonuyla olası bağları olduğu belirtildi: Black Basta ve BlackCat, diğer adıyla Alphv.
Şubat ayının sonlarına doğru, siber tehdit istihbarat firması S2W, RustDoor’u Aralık 2023’ten bu yana takip ettiğini bildirdi. Firma ayrıca RustDoor’un Rust’ta değil, Go programlama dili olan Golang’da yazılmış bir Windows sürümünü de tespit ettiğini söyledi. KapıKapı. Hem RustDoor hem de GateDoor’un “normal program güncellemeleri veya yardımcı programlar kisvesi altında dağıtıldığı” belirtildi.
Kötü amaçlı yazılım, gruba ShadowSyndicate kod adını veren ve grup tarafından kullanılan C2 sunucuları için SSH parmak izi anahtarlarını yayınlayan güvenlik firması Group-IB tarafından geçtiğimiz Eylül ayında ayrıntılı olarak açıklanan bir hizmet olarak fidye yazılımı operasyon ortağının işi olabilir. Cobalt Strike, IcedID ve Sliver araçlarını dağıtmak ve uzaktan kontrol etmek için kullanılıyor.
SW2, RustDoor ve GateDoor kötü amaçlı yazılım C2 trafiğinin ShadowSyndicate sunucusunun parmak izleriyle örtüştüğünü söyledi. “Bu sunucuların yedi fidye yazılımı grubuyla ilişkili olduğu tespit edildiğinden, grubun birkaç RaaS grubuyla işbirliği yapan bir bağlı kuruluş olduğu varsayılıyor” dedi.
RustDoor ve GateDoor’u kodlayan kişinin ShadowSyndicate ile veya JAVS yazılımının arka kapısıyla doğrudan bağlantısı olup olmadığı belirsizliğini koruyor.