JAVS庭审录制软件被植入后门 用于发动供应链攻击

该软件所属公司 JAVS 表示，这款数字化录制工具目前的安装次数超过1万次，出现在全球很多法庭、法务办公室、施工现场和政府机构。JAVS 已从官方网站删除了受陷版本，表示木马版软件中包含一个恶意的 fffmpeg.exe 二进制，“并非源自JAVS或与JAVS相关联的任何第三方”。

JAVS 还对所有系统进行了完全审计并重置了所有密码，确保密码如被盗，不会被用于其它攻陷事件中。该公司提到，“通过与网络当局的监控和协作，我们发现有人通过受陷文件取代 Viewer 8.3.7软件。我们确认所有 JAVS.com 网站上可用的文件是真实的且不受恶意软件影响。我们进一步验证该事件并未攻陷任何JAVS源代码、证书、系统或其它软件发布。”

网络安全公司 Rapid7 调查这起供应链事件（编号为CVE-2024-4978）后发现，S2W Talon 威胁情报团队在4月初第一次发现木马化的 JAVS 安装程序，并认为它与 Rustdoor/GataeDoor 恶意软件有关。Rapid 7 在5月10日分析与该漏洞相关联的事件时发现，该恶意软件在安装并启动后将系统信息发送到C2服务器，之后执行了两个被混淆的 PowerShell 脚本，试图禁用 Windows 版本的 Event Tracing (ETW) 并绕过Anti-Malware Scan Interface (AMSI)。接着，从C2服务器下载的其它恶意 payload 释放 Python 脚本呢，开始收集存储在系统上web服务器中的凭据。

Rapid7 公司指出，被安装后门的安装程序 (JAVS.Viewer8.Setup_8.3.7.250-1.exe) 被很多安全厂商标记为恶意软件释放器，但是从官方 JAVS 网站下载的。

所有可能受陷的JAVS端点都需要重成像

上周四，Rapid 7 提醒JAVS 客户对所有部署木马化安装程序的端点进行重成像。

为确保攻击者不再享有访问权限，用户还应重置用于登录潜在受陷端点的所有凭据并将 JAVS Viewer 软件升级至8.3.9或更高版本，前提是对系统进行重成像。

Rapid7 公司提醒称，“只卸载软件不行，因为攻击者可能植入其它后门或恶意软件。重成像提供了清洁版本。完全重新成像受影响的端点并重置关联凭据对于确保攻击者无法通过后门或被盗凭据实施持久访问至关重要。”

去年三月份，视频会议软件制造商 3CX 披露称，基于 3CXDesktopApp Electron的桌面客户端也被朝鲜黑客组织 UNC4736实施类似攻击，传播恶意软件。在这次攻击中，攻击者使用的是ffmpeg DLL的恶意版本。

四年前，俄罗斯 APT29 攻陷 SolarWinds 内部系统并将恶意代码植入 SolarWinds Orion IT 管理平台构建，渗透多个美国政府机构系统。

目前JAVS公司尚未就事件如何别检测到以及受影响客户的数量等问题做出回应。