带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序

Rapid7的研究人员警告称，威胁行为者在Justice AV Solutions JAVS Viewer软件的安装程序中添加了一个后门。攻击者成功在JAVS Viewer v8.3.7的安装程序中注入了一个后门，该安装程序是从JAVS的服务器上分发的。

Justice AV Solutions (JAVS)是一家总部位于美国的公司，为法庭环境和其他场所（包括监狱、议会和讲堂）提供数字音频-视觉录制解决方案。JAVS Viewer全球安装量超过10,000个。研究人员提供的后门允许攻击者完全控制受感染的系统。

Rapid7的专家建议重新映像受影响的系统，重置相关凭据，并安装最新版本的JAVS Viewer（v8.3.8或更高版本）。研究人员注意到，JAVS Viewer Setup 8.3.7.250-1.exe的安装程序使用了意外的Authenticode签名，并包含一个名为fffmpeg.exe的二进制文件。这个二进制文件执行了编码的PowerShell脚本，Rapid7将fffmpeg.exe与GateDoor/Rustdoor恶意软件联系在一起，这是由安全公司S2W确认的。

Rapid7发布的报告中指出：“fffmpeg.exe二进制文件和安装程序二进制文件都使用颁发给“Vanguard Tech Limited”的Authenticode证书进行签名。这是意外的，因为注意到其他看似合法的JAVS二进制文件是由颁发给“Justice AV Solutions Inc”的证书进行签名的。在VirusTotal上搜索其他由“Vanguard Tech Limited”签名的文件显示如下内容。

上述内容表明，可能存在另一个恶意安装程序版本（SHA1: b8e97333fc1b5cd29a71299a8f82a541cabf4d59）和另一个恶意的fffmpeg.exe（SHA1: b9d13055766d792abaf1d11f18c6ee7618155a0e）。这些二进制文件最早在2024年4月1日在VirusTotal平台上被发现。

研究人员在供应商服务器上发现了两个恶意的JAVS Viewer软件包，它们是由于2024年2月10日颁发的证书进行签名的。2024年4月2日，Twitter用户@2RunJack2首次报告了官方JAVS下载页面分发的植入程序。🚨Windows版本的RustDoor警报！📷恶意软件被托管在JAVS的官方网站上。该文件是Viewer 8.3.7 Setup Executable – Version 8.3.7，并且该文件带有有效证书。攻击者现在已经开发了一个与…合并的Windows版本 https://t.co/Vi2sxZveGQ - 𝓙𝓪𝓬𝓴2 (@2RunJack2) 2024年4月2日

Rapid7发布了针对此次攻击的威胁指标（IoC），以下是攻击时间线：

2024年2月10日：为主题Vanguard Tech Limited颁发了证书，证书显示该公司总部位于伦敦。

2024年2月21日：两个恶意的JAVS Viewer软件包中的第一个使用Vanguard证书进行签名。

2024年4月2日：Twitter用户@2RunJack2发推文称官方JAVS下载页面提供了恶意软件。未说明是否通知了供应商。

2024年3月12日：两个恶意的JAVS Viewer软件包中的第二个使用Vanguard证书进行签名。

2024年5月10日：Rapid7调查了托管在官方JAVS网站上被下载的安装程序导致的新警报。受害者下载的恶意软件文件（第一个Viewer软件包）未观察到在供应商的下载页面上可访问。不清楚是谁从下载页面中移除了恶意软件包（即供应商还是威胁行为者）。

2024年5月12日：Rapid7发现三个额外的恶意载荷被托管在威胁行为者的C2基础设施上，端口为8000：chrome_installer.exe、firefox_updater.exe和OneDriveStandaloneUpdater.exe。

2024年5月13日：Rapid7发现一个包含恶意软件的未链接的安装程序文件，仍然被官方供应商网站提供，这证实了供应商网站是最初感染源。

2024年5月17日：Rapid7发现威胁行为者从C2基础设施中删除了二进制文件OneDriveStandaloneUpdater.exe，并用新的二进制文件ChromeDiscovery.exe替换。这表明威胁行为者正在积极更新他们的C2基础设施。

原文始发于微信公众号（黑猫安全）：带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序