疑似供应链攻击后门法庭录音软件
安全商店Rapid7的研究人员将这起事件视为正义反病毒解决方案(JAVS)的一起疑似供应链攻击事件,该公司在一名客户的MDR解决方案中发出警报后展开了调查.
或者,在研究人员发现证据表明视听软件已经被倒退数周后,部署在1万多个法庭上的视听软件再次得到保护.
总部位于肯塔基州的软件供应商JAVS专门开发用于法庭、监狱和演讲厅等领域的应用程序.
它的一个安装程序据信是被不明身份的攻击者毒死的,任何运行Javs Viewer v8.3.7的人都可能立即采取行动.
要缓解跟踪为CVE-2024-4978(8.
7)的威胁,比简单地升级到安全版本更具技术性.
鉴于后门允许攻击者完全访问受感染的系统,因此可能已经建立了持久性,Rapid7分析师表示,需要进行全面的重新镜像工作.
这十名分析师在博客中写道:“重新镜像任何安装了JAWS查看器8.3.7的终端.”简单地卸载软件是不够的,因为攻击者可能已经植入了额外的后门或恶意软件.
重新镜像提供了一张干净的黑名单.
这包括终结点本身上的本地帐户以及在安装Java查看器8.3.7期间访问的任何远程帐户.
攻击者可能从受攻击的系统中窃取了凭据.
“,Web浏览器中使用的凭据也应该重置,因为会话可能被劫持以窃取Cookie、密码和其他机密.
只有在采取了这些步骤之后,用户才能安装该软件的最新安全版本(8.3.9或更高版本).
在检查安装程序时,发现该问题的Rapid7的检测和响应分析师Ipek Solak发现了一个名为fffmpeg.
exe的二进制程序,该程序很快就被发现是通过命令和控制(C2)服务器提供远程访问的程序.
快速注意:安装程序中任何发现ffmpeg.
exe的情况都是正常的-它应该就在那里.
三个F表示你有麻烦了.两个是好的.fffmpeg.
exe之前曾与已知的GateDoor/Rustdoor恶意软件家族联系在一起,这是S2W今年早些时候首次发现的,通过VirusTotal运行其SHA1散列显示,多个供应商将其标记为恶意丢弃程序.
我们被告知,它也是使用注册到“先锋科技有限公司”的证书签署的,而不是像安装程序中所有其他合法文件一样使用“Justice AV Solutions Inc”.
