Saldırganlar, yaygın olarak kullanılan Justice AV Solutions (JAVS) mahkeme salonu video kayıt yazılımının yükleyicisine, tehlikeye atılmış sistemleri ele geçirmelerine olanak tanıyan kötü amaçlı yazılım içeren arka kapıyı kilitledi.
JAVS olarak da bilinen bu yazılımın arkasındaki şirket, dijital kayıt aracının şu anda dünya çapında birçok mahkeme salonunda, hukuk bürosunda, ıslahevinde ve devlet kurumlarında 10.000’den fazla kurulumunun bulunduğunu söylüyor.
JAVS, kötü amaçlı fffmpeg.exe ikili dosyasını içeren truva atı haline getirilmiş yazılımın “JAVS’den veya JAVS ile ilişkili herhangi bir üçüncü taraftan kaynaklanmadığını” söyleyerek, tehlikeye atılan sürümü resmi web sitesinden kaldırdı.
Şirket ayrıca tüm sistemleri tam olarak denetledi ve çalınması durumunda gelecekteki ihlal girişimlerinde kullanılamayacaklarından emin olmak için tüm şifreleri sıfırladı.
Şirket, “Devam eden izleme ve siber yetkililerle işbirliği yoluyla, Viewer 8.3.7 yazılımımızı güvenliği ihlal edilmiş bir dosyayla değiştirme girişimlerini tespit ettik” dedi.
“JAVS.com web sitesinde şu anda mevcut olan tüm dosyaların orijinal olduğunu ve kötü amaçlı yazılım içermediğini doğruladık. Ayrıca bu olayda hiçbir JAVS Kaynak kodunun, sertifikasının, sisteminin veya diğer yazılım sürümünün tehlikeye atılmadığını da doğruladık.”
Siber güvenlik şirketi Rapid7, bu tedarik zinciri olayını araştırdı (şu anda CVE-2024-4978 olarak izleniyor) ve S2W Talon tehdit istihbarat grubunun truva atı haline getirilmiş JAVS yükleyicisini ilk olarak Nisan ayı başlarında tespit ettiğini ve bunu Rustdoor/GateDoor kötü amaçlı yazılımına bağladığını buldu.
10 Mayıs’ta CVE-2024-4978 ile bağlantılı bir olayı analiz eden Rapid7, kötü amaçlı yazılımın sistem bilgilerini, yüklendikten ve başlatıldıktan sonra komut ve kontrol (C2) sunucusuna gönderdiğini tespit etti.
Daha sonra, Windows için Olay İzlemeyi (ETW) devre dışı bırakmaya ve Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzünü (AMSI) atlamaya çalışacak iki gizlenmiş PowerShell komut dosyasını çalıştırır.
Daha sonra, C2 sunucusundan indirilen ek bir kötü amaçlı yük, sistemdeki web tarayıcılarında saklanan kimlik bilgilerini toplamaya başlayacak olan Python komut dosyalarını bırakıyor.
Rapid7’ye göre, birçok güvenlik sağlayıcısı tarafından kötü amaçlı yazılım düşürücü olarak sınıflandırılan arka kapılı yükleyici (JAVS.Viewer8.Setup_8.3.7.250-1.exe) resmi JAVS web sitesinden indirildi.
Potansiyel olarak tehlikeye atılmış tüm JAVS uç noktalarının yeniden görüntülenmesi gerekir
Perşembe günü siber güvenlik şirketi, JAVS müşterilerini truva atı bulaşmış yükleyiciyi yerleştirdikleri tüm uç noktaları yeniden görüntülemeleri konusunda uyardı.
Saldırganların erişiminin kesildiğinden emin olmak için, potansiyel olarak tehlike altındaki uç noktalarda oturum açmak için kullanılan tüm kimlik bilgilerini sıfırlamaları ve sistemleri yeniden görüntüledikten sonra JAVS Viewer yazılımını 8.3.9 veya daha yüksek bir sürüme (en son güvenli sürüm) yükseltmeleri gerekir.
Şirket, “Saldırganlar ek arka kapılar veya kötü amaçlı yazılım yerleştirmiş olabileceğinden yazılımın kaldırılması yeterli değildir. Yeniden görüntüleme temiz bir sayfa sağlar” uyarısında bulundu.
“Etkilenen uç noktaların tamamen yeniden görüntülenmesi ve ilgili kimlik bilgilerinin sıfırlanması, saldırganların arka kapılardan veya kimlik bilgilerinin çalınmasından vazgeçmemesini sağlamak için kritik öneme sahiptir.”
Geçen yılın Mart ayında, video konferans yazılımı üreticisi 3CX, 3CXDesktopApp Electron tabanlı masaüstü istemcisinin de kötü amaçlı yazılım dağıtmak için UNC4736 olarak takip edilen Kuzey Koreli bir bilgisayar korsanlığı grubu tarafından benzer bir saldırıyla truva atına bulaştırıldığını açıkladı. Bu saldırı sırasında tehdit aktörleri, ffmpeg DLL dosyasının kötü amaçlı bir sürümünü kullandı.
Dört yıl önce Rus APT29 bilgisayar korsanlığı grubu, Mart 2020 ile Haziran 2020 arasında indirdikleri SolarWinds Orion BT yönetim platformu yapılarına kötü amaçlı kod enjekte ettikten sonra SolarWinds’in dahili sistemlerini ihlal etti ve çok sayıda ABD devlet kurumunun sistemlerine sızdı.
İhlalin ne zaman tespit edildiği ve varsa kaç müşterinin etkilendiği hakkında daha fazla bilgi almak için bugün erken saatlerde BleepingComputer ile iletişime geçildiğinde bir JAVS sözcüsü yorum yapmak için hemen müsait değildi.