Злоумышленники внедрили бэкдор в инсталлятор широко распространенного софта для видеозаписи судебных заседаний Justice AV Solutions (JAVS), что позволяло им перехватывать контроль над взломанными системами.
Компания, стоящая за разработкой упомянутого ПО, утверждает, что в настоящее время JAVS установлен в 10 000 залов судебных заседаний, юридических контор, исправительных учреждений и правительственных организаций по всему миру.
JAVS удалила взломанную версию ПО своего официального сайта, заявив, что троянское ПО, содержащее вредоносный бинарный файл fffmpeg.exe, «не принадлежало JAVS или какой-либо третьей стороне, связанной с JAVS».
Компания подчеркивает, что также провела полный аудит всех систем и сбросила все пароли, чтобы в случае кражи они не могли использоваться в будущих атаках.
«Благодаря постоянному мониторингу и сотрудничеству с различными киберведомствами, мы обнаружили попытки заменить наше программное обеспечение Viewer 8.3.7 скомпрометированным файлом, — говорится в заявлении компании. — Мы убедились, что все доступные на данный момент файлы на сайте JAVS.com являются подлинными и не содержат вредоносных программ. Кроме того, мы удостоверились, что ни исходный код JAVS, ни сертификаты, ни системы, ни другие версии программного обеспечения не были скомпрометированы в результате этого инцидента».
Специалисты ИБ-компании Rapid7 провели расследование случившегося и сообщают, что речь шла об атаке на цепочку поставок. Проблеме был присвоен идентификатор CVE-2024-4978, и впервые троянизированный инсталлятор JAVS был замечен еще в начале апреля, когда исследователи S2W Talon обнаружили в нем малварь Rustdoor/GateDoor.
Анализируя инцидент, связанный с CVE-2024-4978, произошедший 10 мая, аналитики Rapid7 выяснили, что после установки и запуска эта малварь отправляет системную информацию жертвы на свой управляющий сервер. Затем вредонос выполняет два обфусцированных скрипта PowerShell, которые пытаются отключить Event Tracing for Windows (ETW) и обойти Anti-Malware Scan Interface (AMSI).
В дальнейшем дополнительная полезная нагрузка, загружаемая с сервера злоумышленников, доставляла в зараженную систему Python-скрипты, которые начинали сбор учетных данных, хранящихся в браузерах.
По информации исследователей, в этом инциденте инсталлятор с бэкдором (JAVS.Viewer8.Setup_8.3.7.250-1.exe) был загружен именно с официального сайта JAVS.
На прошлой неделе компания предупредила всех клиентов JAVS о срочной необходимости обновить все эндпоинты, на которых был развернут троянский инсталлятор. Чтобы гарантировать, что злоумышленники лишились доступа, рекомендуется не только сбросить все учетные данные, используемые для входа на потенциально скомпрометированные эндпоинты, но также обновить JAVS Viewer до версии 8.3.9 или выше после полной переустановки системы.
«Простого удаления ПО недостаточно, поскольку злоумышленники могли внедрить дополнительные бэкдоры или вредоносное ПО. Только повторное развертывание образа системы обеспечивает чистую установку, — предупредили специалисты. — Полная переустановка затронутых эндпоинтов и сброс связанных с ними учетных данных очень важны, так как позволяют убедиться, что злоумышленники не воспользуются бэкдорами или украденными учетными данными».