Rapid7的研究人员警告称,威胁行为者在Justice AV Solutions JAVS Viewer软件的安装程序中添加了一个后门。攻击者成功在JAVS Viewer v8.3.7的安装程序中注入了一个后门,该安装程序是从JAVS的服务器上分发的。
Justice AV Solutions (JAVS)是一家总部位于美国的公司,为法庭环境和其他场所(包括监狱、议会和讲堂)提供数字音频-视觉录制解决方案。JAVS Viewer全球安装量超过10,000个。研究人员提供的后门允许攻击者完全控制受感染的系统。
Rapid7的专家建议重新映像受影响的系统,重置相关凭据,并安装最新版本的JAVS Viewer(v8.3.8或更高版本)。研究人员注意到,JAVS Viewer Setup 8.3.7.250-1.exe的安装程序使用了意外的Authenticode签名,并包含一个名为fffmpeg.exe的二进制文件。这个二进制文件执行了编码的PowerShell脚本,Rapid7将fffmpeg.exe与GateDoor/Rustdoor恶意软件联系在一起,这是由安全公司S2W确认的。
Rapid7发布的报告中指出:“fffmpeg.exe二进制文件和安装程序二进制文件都使用颁发给“Vanguard Tech Limited”的Authenticode证书进行签名。这是意外的,因为注意到其他看似合法的JAVS二进制文件是由颁发给“Justice AV Solutions Inc”的证书进行签名的。在VirusTotal上搜索其他由“Vanguard Tech Limited”签名的文件显示如下内容。
上述内容表明,可能存在另一个恶意安装程序版本(SHA1: b8e97333fc1b5cd29a71299a8f82a541cabf4d59)和另一个恶意的fffmpeg.exe(SHA1: b9d13055766d792abaf1d11f18c6ee7618155a0e)。这些二进制文件最早在2024年4月1日在VirusTotal平台上被发现。
研究人员在供应商服务器上发现了两个恶意的JAVS Viewer软件包,它们是由于2024年2月10日颁发的证书进行签名的。2024年4月2日,Twitter用户@2RunJack2首次报告了官方JAVS下载页面分发的植入程序。🚨Windows版本的RustDoor警报!📷恶意软件被托管在JAVS的官方网站上。该文件是Viewer 8.3.7 Setup Executable – Version 8.3.7,并且该文件带有有效证书。攻击者现在已经开发了一个与…合并的Windows版本 https://t.co/Vi2sxZveGQ - 𝓙𝓪𝓬𝓴2 (@2RunJack2) 2024年4月2日
Rapid7发布了针对此次攻击的威胁指标(IoC),以下是攻击时间线:
2024年2月10日:为主题Vanguard Tech Limited颁发了证书,证书显示该公司总部位于伦敦。
2024年2月21日:两个恶意的JAVS Viewer软件包中的第一个使用Vanguard证书进行签名。
2024年4月2日:Twitter用户@2RunJack2发推文称官方JAVS下载页面提供了恶意软件。未说明是否通知了供应商。
2024年3月12日:两个恶意的JAVS Viewer软件包中的第二个使用Vanguard证书进行签名。
2024年5月10日:Rapid7调查了托管在官方JAVS网站上被下载的安装程序导致的新警报。受害者下载的恶意软件文件(第一个Viewer软件包)未观察到在供应商的下载页面上可访问。不清楚是谁从下载页面中移除了恶意软件包(即供应商还是威胁行为者)。
2024年5月12日:Rapid7发现三个额外的恶意载荷被托管在威胁行为者的C2基础设施上,端口为8000:chrome_installer.exe、firefox_updater.exe和OneDriveStandaloneUpdater.exe。
2024年5月13日:Rapid7发现一个包含恶意软件的未链接的安装程序文件,仍然被官方供应商网站提供,这证实了供应商网站是最初感染源。
2024年5月17日:Rapid7发现威胁行为者从C2基础设施中删除了二进制文件OneDriveStandaloneUpdater.exe,并用新的二进制文件ChromeDiscovery.exe替换。这表明威胁行为者正在积极更新他们的C2基础设施。
原文始发于微信公众号(黑猫安全):带有恶意软件的JAVS Viewer在供应链攻击中部署了RustDoor植入程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论