Οι επιτιθέμενοι έχουν παραβιάσει το πρόγραμμα εγκατάστασης του ευρέως χρησιμοποιούμενου λογισμικού εγγραφής βίντεο δικαστικής αίθουσας Justice AV Solutions (JAVS) με κακόβουλο λογισμικό, που τους επιτρέπει να πραγματοποιούν επιθέσεις σε παραβιασμένα συστήματα.
Δείτε επίσης: Κατάχρηση υπηρεσιών cloud στα πλαίσια SMS phishing επιθέσεων
Η εταιρεία πίσω από αυτό το λογισμικό, επίσης γνωστή ως JAVS, λέει ότι το εργαλείο ψηφιακής εγγραφής έχει επί του παρόντος περισσότερες από 10.000 εγκαταστάσεις σε πολλές δικαστικές αίθουσες, νομικά γραφεία, σωφρονιστικά ιδρύματα και κυβερνητικές υπηρεσίες σε όλο τον κόσμο.
Το JAVS αφαίρεσε έκτοτε την παραβιασμένη έκδοση από τον επίσημο ιστότοπό του, λέγοντας ότι το trojanized λογισμικό που περιέχει ένα κακόβουλο δυαδικό αρχείο fffmpeg.exe “δεν προέρχεται από το JAVS ή οποιοδήποτε τρίτο μέρος που σχετίζεται με το JAVS.“
Η εταιρεία διεξήγαγε επίσης πλήρη έλεγχο όλων των συστημάτων JAVS και επαναφέρει όλους τους κωδικούς πρόσβασης για να διασφαλίσει ότι σε περίπτωση κλοπής, δεν θα μπορούσαν να χρησιμοποιηθούν σε μελλοντικές επιθέσεις.
«Μέσω της συνεχούς παρακολούθησης και της συνεργασίας με τις αρχές του κυβερνοχώρου, εντοπίσαμε προσπάθειες αντικατάστασης του λογισμικού Viewer 8.3.7 με ένα παραβιασμένο αρχείο», ανέφερε η εταιρεία.
“Επιβεβαιώσαμε ότι όλα τα επί του παρόντος διαθέσιμα αρχεία στον ιστότοπο JAVS.com είναι γνήσια και χωρίς κακόβουλο λογισμικό. Επαληθεύσαμε περαιτέρω ότι κανένας πηγαίος κώδικας, πιστοποιητικά, συστήματα ή άλλες εκδόσεις λογισμικού JAVS δεν παραβιάστηκαν σε αυτό το περιστατικό.“
Δείτε ακόμα: Η Jumbo Group έπεσε θύμα επίθεσης ransomware
Η εταιρεία κυβερνοασφάλειας Rapid7 ερεύνησε αυτό το περιστατικό της αλυσίδας εφοδιασμού (τώρα παρακολουθείται ως CVE-2024-4978) και διαπίστωσε ότι η ομάδα απειλών S2W Talon εντόπισε για πρώτη φορά το trojanized πρόγραμμα εγκατάστασης JAVS στις αρχές Απριλίου και το συνέδεσε με επιθέσεις του κακόβουλου λογισμικού Rustdoor/GateDoor.
Κατά την ανάλυση ενός περιστατικού που συνδέεται με το CVE-2024-4978 στις 10 Μαΐου, η Rapid7 διαπίστωσε ότι το κακόβουλο λογισμικό στέλνει πληροφορίες συστήματος στον διακομιστή εντολών και ελέγχου (C2) αφού εγκατασταθεί και εκκινηθεί. Στη συνέχεια, εκτελεί δύο ασαφή σενάρια PowerShell που θα προσπαθήσουν να απενεργοποιήσουν την παρακολούθηση συμβάντων για Windows (ETW) και να παρακάμψουν τη διεπαφή σάρωσης κατά του κακόβουλου λογισμικού (AMSI).
Στη συνέχεια, ένα πρόσθετο κακόβουλο ωφέλιμο φορτίο που λήφθηκε από τον διακομιστή του C2 ρίχνει τα σενάρια Python, τα οποία θα αρχίσουν να συλλέγουν διαπιστευτήρια που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού στο σύστημα.
Σύμφωνα με την Rapid7, το backdoored installer (JAVS.Viewer8.Setup_8.3.7.250-1.exe)—που ταξινομήθηκε από πολλούς προμηθευτές ασφαλείας ως dropper κακόβουλου λογισμικού και χρησιμοποιήθηκε σε επιθέσεις—λήφθηκε από τον επίσημο ιστότοπο JAVS.
Δείτε επίσης: Νοσοκομείο στην κομητεία Trego θύμα επίθεσης ransomware
Ποιες είναι οι βασικές τεχνικές προστασίας από κυβερνοεπιθέσεις;
- Τακτική ενημέρωση του λογισμικού και των συστημάτων είναι κρίσιμη για την ασφάλεια.
- Χρήση λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό μπορεί να ανιχνεύσει και να αποτρέψει πολλές απειλές.
- Εκπαίδευση των χρηστών για την αναγνώριση και αποφυγή επιθέσεων phishing είναι απαραίτητη.
- Χρήση δικτύων VPN (Virtual Private Network) που μπορεί να προστατεύσει τις διαδικτυακές επικοινωνίες, ειδικά όταν χρησιμοποιούνται δημόσια ή μη ασφαλή δίκτυα Wi-Fi.
- Εφαρμογή πολιτικών ελέγχου πρόσβασης, όπως η αρχή του ελάχιστου προνομίου.
- Δημιουργία και διατήρηση αντιγράφων ασφαλείας των δεδομένων είναι ζωτικής σημασίας. επιτιθέμενους.
Πηγή: bleepingcomputer
