24 Mayıs 2024Haber odasıTedarik Zinciri Saldırısı / Kötü Amaçlı Yazılım
Kötü niyetli aktörler, RustDoor adı verilen bilinen bir implantla ilişkili kötü amaçlı yazılım dağıtmak için Justice AV Solutions (JAVS) tarafından geliştirilen mahkeme salonu video kayıt yazılımıyla ilişkili yükleyiciye arka kapı açtı.
Yazılım tedarik zinciri saldırısı şu şekilde izlendi: CVE-2024-4978 (CVSS puanı: 8,7), JAVS Viewer v8.3.7’yi etkiler. JAVS Paketi 8 Kullanıcıların mahkeme salonu işlemlerinin, iş toplantılarının ve belediye meclisi oturumlarının dijital kayıtlarını oluşturmasına, yönetmesine, yayınlamasına ve görüntülemesine olanak tanır.
Siber güvenlik firması Rapid7 söz konusu yazılımın Windows kurulum klasöründe “fffmpeg.exe” (üç F’ye dikkat edin) adlı kötü amaçlı bir yürütülebilir dosya keşfettikten sonra bu ayın başlarında bir soruşturma başlattı ve bu dosyanın “JAVS Viewer Kurulumu 8.3.7.250-1.exe” adlı bir ikili dosyaya kadar izini sürdü ” 5 Mart 2024’te resmi JAVS sitesinden indirildi.
Rapid7 araştırmacıları, “JAVS Viewer Setup 8.3.7.250-1.exe yükleyicisinin analizi, bunun beklenmedik bir Authenticode imzasıyla imzalandığını ve ikili fffmpeg.exe dosyasını içerdiğini gösterdi” dedi ve ekledi: “kodlanmış PowerShell komut dosyalarının ikili dosya tarafından yürütüldüğünü gözlemlediler” fffmpeg.exe.”
Hem fffmpeg.exe hem de yükleyici, yazılımın meşru sürümlerinin kimliğini doğrulamak için kullanılan imza kuruluşu olan “Justice AV Solutions Inc”in aksine, “Vanguard Tech Limited” adına verilen bir Authenticode sertifikasıyla imzalanmıştır.
Yürütmenin ardından fffmpeg.exe, güvenliği ihlal edilen ana bilgisayar hakkında bilgi göndermek ve sunucudan gelecek talimatları beklemek için Windows yuvalarını ve WinHTTP isteklerini kullanarak bir komut ve kontrol (C&C) sunucusuyla bağlantı kurar.
Ayrıca, Kötü Amaçlı Yazılım Önleme Tarama Arayüzünü (AMSI) atlamaya ve Windows için Olay İzlemeyi (ETW) devre dışı bırakmaya çalışan, gizlenmiş PowerShell komut dosyalarını çalıştıracak şekilde tasarlanmıştır; ardından Google Chrome yükleyicisi gibi görünen ek bir veri indirme komutunu çalıştırır (“chrome_installer”) .exe”) uzak bir sunucudan kopyalayın.
Bu ikili dosya, Python komut dosyalarını ve “main.exe” adlı başka bir yürütülebilir dosyayı bırakmak ve web tarayıcılarından kimlik bilgilerini toplamak amacıyla ikincisini başlatmak için gereken kodu içerir. Rapid7’nin “main.exe” analizi, düzgün çalışmasını engelleyen yazılım hataları buldu.
Rust tabanlı bir arka kapı kötü amaçlı yazılımı olan RustDoor’un, iş teklifi cazibesini kullanan olası hedefli saldırıların bir parçası olarak Microsoft Visual Studio’ya yönelik bir güncellemeyi taklit ederek Apple macOS cihazlarını hedeflediği ilk olarak bu Şubat ayı başlarında Bitdefender tarafından belgelendi.
Güney Koreli siber güvenlik şirketi S2W tarafından yapılan sonraki analiz, Golang’da programlanan GateDoor kod adlı bir Windows sürümünü ortaya çıkardı.
S2W araştırmacıları Minyeop Choi, Sojun Ryu, Sebin Lee ve HuiSeong Yang, “Hem RustDoor hem de GateDoor’un normal program güncellemeleri veya yardımcı programlar kisvesi altında dağıtıldığı doğrulandı.” kayıt edilmiş o ayın ilerleyen saatlerinde. “RustDoor ve GateDoor, C&C sunucusuyla iletişim kurarken kullanılan örtüşen uç noktalara sahiptir ve benzer işlevlere sahiptir.”
Kötü amaçlı yazılım ailesini ShadowSyndicate adlı bir hizmet olarak fidye yazılımı (RaaS) bağlı kuruluşuna bağlayacak altyapı kanıtı var. Ancak diğer aktörlere altyapı sağlama konusunda uzmanlaşmış bir işbirlikçi olarak hareket edebilecekleri ihtimalini de gündeme getirdi.
Truva atı haline getirilmiş bir JAVS Viewer yükleyicisinin RustDoor’un Windows sürümünü dağıtmak için kullanılması da daha önce 2 Nisan 2024’te S2W tarafından işaretlenmişti. postalamak X’te (eski adıyla Twitter) paylaşıldı. Şu anda satıcının sitesinin nasıl ihlal edildiği ve kötü amaçlı bir yükleyicinin indirilebilir hale geldiği belli değil.
JAVS, siber güvenlik tedarikçisine yaptığı açıklamada, JAVS Viewer sürüm 8.3.7’de “potansiyel bir güvenlik sorunu” tespit ettiğini ve etkilenen sürümü web sitesinden kaldırdığını, tüm şifreleri sıfırladığını ve tam bir denetim gerçekleştirdiğini söyledi. sistemler.
Amerikan şirketi, “Bu olayda hiçbir JAVS Kaynak kodu, sertifikası, sistemi veya diğer yazılım sürümü tehlikeye atılmadı” dedi. “Söz konusu dosya, JAVS’den veya JAVS ile ilişkili herhangi bir üçüncü taraftan kaynaklanmamıştır. Tüm kullanıcıların, yükledikleri herhangi bir JAVS yazılımını JAVS’ın dijital olarak imzaladığını doğrulamasını önemle tavsiye ederiz.”
Kullanıcılara, güvenlik ihlali göstergelerini (IoC’ler) kontrol etmeleri ve virüs bulaştığı tespit edilirse, etkilenen tüm uç noktaları tamamen yeniden görüntülemeleri, kimlik bilgilerini sıfırlamaları ve JAVS Viewer’ın en son sürümüne güncelleme yapmaları önerilir.
siber-2