Kötü niyetli aktörler, Justice AV Solutions (JAVS) tarafından geliştirilen mahkeme salonu video kayıt yazılımıyla ilişkili yükleyiciye, bilinen bir arka kapıyla ilişkili kötü amaçlı yazılım dağıtmak için arka kapı açtılar. RustBy.
Yazılım tedarik zinciri saldırısı şu şekilde izlendi: CVE-2024-4978JAVS Suite 8’in bir bileşeni olan JAVS Viewer v8.3.7’yi etkiler; bu, kullanıcıların mahkeme salonu işlemlerinin, iş toplantılarının ve belediye meclisi oturumlarının dijital kayıtlarını oluşturmasına, yönetmesine, yayınlamasına ve görüntülemesine olanak tanır.
Siber güvenlik firması Rapid7, yazılımın Windows kurulum klasöründe “fffmpeg.exe” (üç F’ye dikkat edin) adı verilen kötü amaçlı bir yürütülebilir dosya keşfettikten sonra bu ayın başlarında bir soruşturma başlattığını ve bunun “JAVS Viewer Kurulumu 8.3.7.250” adlı bir ikili dosyaya kadar takip edildiğini söyledi. 5 Mart 2024’te resmi JAVS sitesinden indirilen “-1.exe”.
Rapid7 araştırmacıları, “JAVS Viewer Setup 8.3.7.250-1.exe yükleyicisinin analizi, bunun beklenmedik bir Authenticode imzasıyla imzalandığını ve ikili fffmpeg.exe dosyasını içerdiğini gösterdi” dedi ve ekledi: “kodlanmış PowerShell komut dosyalarının ikili dosya tarafından yürütüldüğünü gözlemlediler” fffmpeg.exe.”
Hem fffmpeg.exe hem de yükleyici, yazılımın meşru sürümlerinin kimliğini doğrulamak için kullanılan imza kuruluşu olan “Justice AV Solutions Inc”in aksine, “Vanguard Tech Limited” adına verilen bir Authenticode sertifikasıyla imzalanmıştır.
Yürütmenin ardından fffmpeg.exe, güvenliği ihlal edilen ana bilgisayar hakkında bilgi göndermek ve sunucudan gelecek talimatları beklemek için Windows yuvalarını ve WinHTTP isteklerini kullanarak bir komut ve kontrol (C&C) sunucusuyla bağlantı kurar.
Ayrıca, Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü (AMSI) atlamaya ve Windows için Olay İzlemeyi (ETW) devre dışı bırakmaya çalışan, gizlenmiş PowerShell komut dosyalarını çalıştırmak üzere tasarlanmıştır; ardından Google Chrome yükleyicisi gibi görünen ek bir veri indirme komutunu çalıştırır (“chrome_installer”) .exe”) uzak bir sunucudan kopyalayın.
Bu ikili dosya, Python komut dosyalarını ve “main.exe” adlı başka bir yürütülebilir dosyayı bırakmak ve web tarayıcılarından kimlik bilgileri toplamak amacıyla ikincisini başlatmak için gereken kodu içerir. Rapid7’nin “main.exe” analizi, düzgün çalışmasını engelleyen yazılım hataları buldu.
Rust tabanlı bir arka kapı kötü amaçlı yazılımı olan RustDoor’un, ilk olarak bu Şubat ayı başlarında Bitdefender tarafından, iş tekliflerini kullanan olası hedefli saldırıların bir parçası olarak Microsoft Visual Studio’ya yönelik bir güncellemeyi taklit ederek Apple macOS cihazlarını hedef aldığı belgelendi.
Güney Koreli siber güvenlik şirketi S2W tarafından yapılan sonraki analiz, Golang’da programlanan GateDoor kod adlı bir Windows sürümünü ortaya çıkardı.
S2W araştırmacıları Minyeop Choi, Sojun Ryu, Sebin Lee ve HuiSeong Yang, aynı ayın sonlarında “RustDoor ve GateDoor’un normal program güncellemeleri veya yardımcı programlar kisvesi altında dağıtıldığı doğrulandı” dedi. “RustDoor ve GateDoor, C&C sunucusuyla iletişim kurarken kullanılan örtüşen uç noktalara sahiptir ve benzer işlevlere sahiptir.”
Kötü amaçlı yazılım ailesini ShadowSyndicate adlı bir hizmet olarak fidye yazılımı (RaaS) bağlı kuruluşuna bağlayacak altyapı kanıtı var. Ancak diğer aktörlere altyapı sağlama konusunda uzmanlaşmış bir işbirlikçi olarak hareket edebilecekleri ihtimalini de gündeme getirdi.
RustDoor’un Windows sürümünü dağıtmak için truva atı haline getirilmiş bir JAVS Viewer yükleyicisinin kullanılması, daha önce de S2W tarafından 2 Nisan 2024’te X’teki (eski adıyla Twitter) bir gönderide işaretlenmişti. Şu anda satıcının sitesinin nasıl ihlal edildiği ve kötü amaçlı bir yükleyicinin indirilmeye hazır hale geldiği belli değil.
JAVS, siber güvenlik tedarikçisine yaptığı açıklamada, JAVS Viewer sürüm 8.3.7’de “potansiyel bir güvenlik sorunu” tespit ettiğini ve etkilenen sürümü web sitesinden kaldırdığını, tüm şifreleri sıfırladığını ve tam bir denetim gerçekleştirdiğini söyledi. sistemler.
Amerikan şirketi, “Bu olayda hiçbir JAVS Kaynak kodu, sertifikası, sistemi veya diğer yazılım sürümü tehlikeye atılmadı” dedi. “Söz konusu dosya, JAVS’den veya JAVS ile ilişkili herhangi bir üçüncü taraftan kaynaklanmamıştır. Tüm kullanıcıların, yükledikleri herhangi bir JAVS yazılımını JAVS’ın dijital olarak imzaladığını doğrulamasını önemle tavsiye ederiz.”
Kullanıcılara, güvenlik ihlali göstergelerini (IoC’ler) kontrol etmeleri ve virüs bulaştığı tespit edilirse, etkilenen tüm uç noktaları tamamen yeniden görüntülemeleri, kimlik bilgilerini sıfırlamaları ve JAVS Viewer’ın en son sürümüne güncelleme yapmaları önerilir.