带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序

admin 2024年5月27日14:46:37评论6 views字数 1894阅读6分18秒阅读模式

带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序

Rapid7的研究人员警告称,威胁行为者在Justice AV Solutions JAVS Viewer软件的安装程序中添加了一个后门。攻击者成功在JAVS Viewer v8.3.7的安装程序中注入了一个后门,该安装程序是从JAVS的服务器上分发的。

Justice AV Solutions (JAVS)是一家总部位于美国的公司,为法庭环境和其他场所(包括监狱、议会和讲堂)提供数字音频-视觉录制解决方案。JAVS Viewer全球安装量超过10,000个。研究人员提供的后门允许攻击者完全控制受感染的系统。

Rapid7的专家建议重新映像受影响的系统,重置相关凭据,并安装最新版本的JAVS Viewer(v8.3.8或更高版本)。研究人员注意到,JAVS Viewer Setup 8.3.7.250-1.exe的安装程序使用了意外的Authenticode签名,并包含一个名为fffmpeg.exe的二进制文件。这个二进制文件执行了编码的PowerShell脚本,Rapid7将fffmpeg.exe与GateDoor/Rustdoor恶意软件联系在一起,这是由安全公司S2W确认的。

Rapid7发布的报告中指出:“fffmpeg.exe二进制文件和安装程序二进制文件都使用颁发给“Vanguard Tech Limited”的Authenticode证书进行签名。这是意外的,因为注意到其他看似合法的JAVS二进制文件是由颁发给“Justice AV Solutions Inc”的证书进行签名的。在VirusTotal上搜索其他由“Vanguard Tech Limited”签名的文件显示如下内容。

上述内容表明,可能存在另一个恶意安装程序版本(SHA1: b8e97333fc1b5cd29a71299a8f82a541cabf4d59)和另一个恶意的fffmpeg.exe(SHA1: b9d13055766d792abaf1d11f18c6ee7618155a0e)。这些二进制文件最早在2024年4月1日在VirusTotal平台上被发现。


研究人员在供应商服务器上发现了两个恶意的JAVS Viewer软件包,它们是由于2024年2月10日颁发的证书进行签名的。2024年4月2日,Twitter用户@2RunJack2首次报告了官方JAVS下载页面分发的植入程序。🚨Windows版本的RustDoor警报!📷恶意软件被托管在JAVS的官方网站上。该文件是Viewer 8.3.7 Setup Executable – Version 8.3.7,并且该文件带有有效证书。攻击者现在已经开发了一个与…合并的Windows版本 https://t.co/Vi2sxZveGQ - 𝓙𝓪𝓬𝓴2 (@2RunJack2) 2024年4月2日

Rapid7发布了针对此次攻击的威胁指标(IoC),以下是攻击时间线:

2024年2月10日:为主题Vanguard Tech Limited颁发了证书,证书显示该公司总部位于伦敦。

2024年2月21日:两个恶意的JAVS Viewer软件包中的第一个使用Vanguard证书进行签名。

2024年4月2日:Twitter用户@2RunJack2发推文称官方JAVS下载页面提供了恶意软件。未说明是否通知了供应商。

2024年3月12日:两个恶意的JAVS Viewer软件包中的第二个使用Vanguard证书进行签名。

2024年5月10日:Rapid7调查了托管在官方JAVS网站上被下载的安装程序导致的新警报。受害者下载的恶意软件文件(第一个Viewer软件包)未观察到在供应商的下载页面上可访问。不清楚是谁从下载页面中移除了恶意软件包(即供应商还是威胁行为者)。

2024年5月12日:Rapid7发现三个额外的恶意载荷被托管在威胁行为者的C2基础设施上,端口为8000:chrome_installer.exe、firefox_updater.exe和OneDriveStandaloneUpdater.exe。

2024年5月13日:Rapid7发现一个包含恶意软件的未链接的安装程序文件,仍然被官方供应商网站提供,这证实了供应商网站是最初感染源。

2024年5月17日:Rapid7发现威胁行为者从C2基础设施中删除了二进制文件OneDriveStandaloneUpdater.exe,并用新的二进制文件ChromeDiscovery.exe替换。这表明威胁行为者正在积极更新他们的C2基础设施。


原文始发于微信公众号(黑猫安全):带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月27日14:46:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序https://cn-sec.com/archives/2782185.html

发表评论

匿名网友 填写信息