正义得到伸张…在研究人员发现证据表明,部署在1万多个法庭上的视听软件已经被倒退了数周后,这一事件再次得到了保护.
安全商店Rapid7的研究人员将这起事件视为正义反病毒解决方案(JAVS)的一起疑似供应链攻击事件,该公司在一名客户的MDR解决方案发出警报后展开了调查.
JAVS是一家总部位于肯塔基州的软件供应商,专门开发用于法庭、监狱和演讲厅等领域的应用程序.
它的一个安装程序据信是被不明身份的攻击者毒死的,任何运行Javs Viewer v8.3.7的人都可能立即采取行动.
要缓解跟踪为CVE-2024-4978(8.
7)的威胁,比简单地升级到安全版本更具技术性.
鉴于后门允许攻击者完全访问受感染的系统,因此可能已经建立了持久性,Rapid7分析师表示,需要进行全面的重新镜像工作.
这十名分析师在博客中写道:“重新镜像任何安装了JAWS查看器8.3.7的终端.”简单地卸载软件是不够的,因为攻击者可能已经植入了额外的后门或恶意软件.
重新镜像提供了一张干净的黑名单.
这包括终结点本身上的本地帐户以及在安装Java查看器8.3.7期间访问的任何远程帐户.
攻击者可能从受攻击的系统中窃取了凭据.
“,Web浏览器中使用的凭据也应该重置,因为会话可能被劫持以窃取Cookie、密码和其他机密.
只有在采取了这些步骤之后,用户才能安装该软件的最新安全版本(8.3.9或更高版本).
在检查安装程序时,发现该问题的Rapid7的检测和响应分析师Ipek Solak发现了一个名为fffmpeg.
exe的二进制程序,该程序很快就被发现是通过命令和控制(C2)服务器提供远程访问的程序.
快速注意:安装程序中任何发现ffmpeg.
exe的情况都是正常的-它应该就在那里.
三个F表示你有麻烦了.两个是好的.fffmpeg.
exe之前曾与已知的GateDoor/Rustdoor恶意软件家族联系在一起,这是S2W今年早些时候首次发现的,通过VirusTotal运行其SHA1散列显示,多个供应商将其标记为恶意丢弃程序.
我们被告知,它也是使用注册在“先锋科技有限公司”的证书签署的,而不是像安装程序中的所有其他合法文件那样使用“Justice AV Solutions Inc”.
实际上,该二进制文件收集系统详细信息,并通过C2通道将它们发送回攻击者.
它允许攻击者运行混淆的PowerShell脚本,这些脚本被发现绕过了反恶意软件保护,禁用了Windows的事件跟踪,并下载了额外的有效负载.
然后,攻击者将使用额外的二进制程序来窃取浏览器凭据,因此潜在受害者在升级到安全版本之前需要重新设置自己的凭据.
S2W的一名威胁情报研究员在4月初发现了供应商下载页面上托管的恶意软件后,人们第一次看到了JAVs,但当时并没有引起太多关注.
一个多月后的5月10日,Rapid7客户的MDR发现了一个看起来可疑的文件,促使该公司的分析师展开调查.
当Rapid7追踪到Javs下载页面的来源时,它认为恶意软件不再托管在那里.
我们仍然不知道为什么会这样,或者是谁从网站上删除了它.
我们联系了JAVS,但没有立即收到回应.
几天后,在JAVS下载页面上发现了一个单独的恶意安装程序,与促使Rapid7采取行动的可疑文件不同.
Rapid7声称,这证实了供应商网站是最初的感染源.
我们无法获得JAVS的说法,但它确实向研究人员提供了一份声明,称它与当局合作了解正在发生的事情,现在相信它下载页面是安全的,不会受到恶意软件的影响.
该供应商表示:“有问题的文件不是来自JAWS或任何与JAVA相关的第三方.
”我们强烈建议所有用户验证JAWS是否对他们安装的任何JAWS软件进行了数字签名.
我们正在重新审查我们的发布流程,以加强文件认证.
我们强烈建议客户随时更新所有软件版本和安全补丁,并使用强大的安全措施,如防火墙和恶意软件防护.
“,JAVS补充说,它自己的技术人员通常会安装被后退的软件,他们总是验证他们的安装.
如果您有任何问题或疑虑,请随时联系我们的支持团队,电话:1-877-JAVSHLP(877-528-7457).
“,受影响的用户数量尚不清楚.
我们询问了JAWS,当我们了解到更多情况时,我们会更新故事.