Những kẻ tấn công đã thực hiện đặt backdoor vào trình cài đặt phần mềm ghi hình tòa án - được phát triển bởi JAVS, để phát tán các phần mềm độc hại liên quan đến một implant được biết với tên gọi RustDoor.

Cuộc tấn công chuỗi cung ứng phần mềm này được theo dõi dưới tên CVE-2024-4978 (Điểm CVSS 8.7), ảnh hưởng đến JAVS Viewer phiên bản 8.3.7, một thành phần của JAVS Suite 8 cho phép người dùng tạo, quản lý, công bố và xem các bản ghi kỹ thuật số của các phiên tòa, cuộc họp doanh nghiệp và các phiên họp hội đồng thành phố.

Hình 1. Mô tả đánh giá và mức độ nguy hiểm của lỗ hổng CVE-2024-4978

Công ty an ninh mạng Rapid7 cho biết, họ đã bắt đầu một cuộc điều tra vào đầu tháng 5/2024 sau khi phát hiện ra một tệp thực thi độc hại có tên là fffmpeg.exe trong thư mục cài đặt Windows của phần mềm, cuộc điều tra dẫn đến một tệp nhị phân có tên “JAVS Viewer Setup 8.3.7.250-1.exe” được tải xuống từ trang web chính thức của JAVS vào ngày 05/3/2024.

“Phân tích trình cài đặt JAVS Viewer Setup 8.3.7.250-1.exe cho thấy, nó đã được ký với một chứng chỉ Authenticode không mong muốn và chứa tệp nhị phân fffmpeg.exe”, các nhà nghiên cứu của Rapid7 cho biết thêm rằng họ đã phát hiện thấy các script PowerShell được mã hóa đang được thực thi bởi tệp nhị phân fffmpeg.exe.

Cả fffmpeg.exe và trình cài đặt đều được ký bởi một chứng chỉ Authenticode phát hành cho “Vanguard Tech Limited”, thay vì “Justice AV Solution Inc” - tổ chức chứng chỉ được sử dụng để xác thực các phiên bản hợp pháp của phần mềm.

Khi thực thi, fffmpeg.exe sẽ thiết lập kết nối với máy chủ điều khiển và kiểm soát (C&C) sử dụng các socket của Windows và các yêu cầu WinHTTP để gửi thông tin về máy chủ bị tấn công và chờ lệnh tiếp theo từ máy chủ. Ngoài ra, nó còn được thiết kể chạy các script PowerShell được mã hóa nhằm cố gắng vượt qua giao diện quét phần mềm độc hại (AMSI) và vô hiệu hóa Event Tracing for Windows (ETW), sau đó thực thi một lệnh để tải xuống một payload bổ sung được ngụy trang thành trình cài đặt cho Google Chrome (chrome_installer.exe) từ một máy chủ từ xa.

Bên cạnh đó, một tệp nhị phân chứa mã để thả các script Python và một tệp thực thi khác có tên main.exe đã khởi chạy tệp này với mục đích thu thập thông tin xác thực từ các trình duyệt web. Phân tích của Rapid7 về main.exe cho thấy các lỗi phần mềm khiến nó không thể chạy một cách bình thường.

RustDoor, một phần mềm độc hại backdoor dựa trên ngôn ngữ lập trình Rust, lần đầu tiên được Bitdefender ghi nhận vào tháng 2/2024 vừa qua, nhắm vào các thiết bị Apple MacOS bằng cách giả mạo làm bản cập nhật cho Microsoft Visual Studio, đây là một hình thức tấn công có chủ đích bằng cách sử dụng mồi nhử là các bản cập nhật mới.

Phân tích của công ty an ninh mạng S2W của Hàn Quốc đã phát hiện ra phiên bản Windows có tên GateDoor được lập trình bằng Golang. Cả Rustdoor và GateDoor đều được xác nhận là được phát tán dưới dạng các bản cập nhật chương trình thông thường hoặc các tiện ích, các nhà nghiên cứu Minyeop Choi, Sojun Ryu, Sebin Lee và HuiSeong Yang của S2W đã lưu ý rằng: “RustDoor và GateDoor có các điểm cuối trùng lặp được sử dụng khi giao tiếp với máy chủ C&C và có các chức năng tương tự”.

Việc sử dụng trình cài đặt JAVS Viewer bị trojan hóa để phân phối phiên bản Windows của RustDoor trước đây cũng đã được S2W cảnh báo vào ngày 02/4/2024 trong một bài đăng chia sẽ trên nền tảng xã hội X. Hiện tại vẫn chưa rõ làm thế nào trang web của nhà cung cấp bị xâm nhập và một trình cài đặt độc hại tồn tại sẵn để tải xuống.

Một trong những thông báo gần đây, JAVS cho biết họ đã xác định được "vấn đề tiềm ẩn" với JAVS Viewer phiên bản 8.3.7. Họ đã gỡ bỏ phiên bản bị ảnh hưởng khỏi trang web, đặt lại tất cả mật khẩu và tiến hành kiểm tra toàn diện các hệ thống của mình.

Phía JAVS cho biết: “Không có mã nguồn, chứng chỉ, hệ thống hoặc bản phát hành phần mềm nào khác của JAVS bị xâm phạm trong sự cố lần này". "Tệp tin được đề cập không xuất phát từ JAVS hoặc bất kỳ bên thứ ba nào liên kết với JAVS. Chúng tôi đặc biệt khuyến khích tất cả người dùng xác minh rằng JAVS đã ký kỹ thuật số vào bất kỳ phầm mêm JAVS nào mà khách hàng cài đặt”.

Người dùng được khuyến nghị kiểm tra các dấu hiệu bị tấn công và nếu phát hiện bị nhiễm, hãy khôi phục hoàn toàn tất cả các thiết bị đầu cuối bị ảnh hưởng, đặt lại tất cả mật khẩu và cập nhật lên phiên bản mới nhất của JAVS Viewer.