Những kẻ tấn công đã thực hiện đặt backdoor vào trình cài đặt phần mềm ghi hình tòa án - được phát triển bởi JAVS, để phát tán các phần mềm độc hại liên quan đến một implant được biết với tên gọi RustDoor.
Cuộc tấn công chuỗi cung ứng phần mềm này được theo dõi dưới tên CVE-2024-4978 (Điểm CVSS 8.7), ảnh hưởng đến JAVS Viewer phiên bản 8.3.7, một thành phần của JAVS Suite 8 cho phép người dùng tạo, quản lý, công bố và xem các bản ghi kỹ thuật số của các phiên tòa, cuộc họp doanh nghiệp và các phiên họp hội đồng thành phố.
Hình 1. Mô tả đánh giá và mức độ nguy hiểm của lỗ hổng CVE-2024-4978
Công ty an ninh mạng Rapid7 cho biết, họ đã bắt đầu một cuộc điều tra vào đầu tháng 5/2024 sau khi phát hiện ra một tệp thực thi độc hại có tên là fffmpeg.exe trong thư mục cài đặt Windows của phần mềm, cuộc điều tra dẫn đến một tệp nhị phân có tên “JAVS Viewer Setup 8.3.7.250-1.exe” được tải xuống từ trang web chính thức của JAVS vào ngày 05/3/2024.
“Phân tích trình cài đặt JAVS Viewer Setup 8.3.7.250-1.exe cho thấy, nó đã được ký với một chứng chỉ Authenticode không mong muốn và chứa tệp nhị phân fffmpeg.exe”, các nhà nghiên cứu của Rapid7 cho biết thêm rằng họ đã phát hiện thấy các script PowerShell được mã hóa đang được thực thi bởi tệp nhị phân fffmpeg.exe.
Cả fffmpeg.exe và trình cài đặt đều được ký bởi một chứng chỉ Authenticode phát hành cho “Vanguard Tech Limited”, thay vì “Justice AV Solution Inc” - tổ chức chứng chỉ được sử dụng để xác thực các phiên bản hợp pháp của phần mềm.
Khi thực thi, fffmpeg.exe sẽ thiết lập kết nối với máy chủ điều khiển và kiểm soát (C&C) sử dụng các socket của Windows và các yêu cầu WinHTTP để gửi thông tin về máy chủ bị tấn công và chờ lệnh tiếp theo từ máy chủ. Ngoài ra, nó còn được thiết kể chạy các script PowerShell được mã hóa nhằm cố gắng vượt qua giao diện quét phần mềm độc hại (AMSI) và vô hiệu hóa Event Tracing for Windows (ETW), sau đó thực thi một lệnh để tải xuống một payload bổ sung được ngụy trang thành trình cài đặt cho Google Chrome (chrome_installer.exe) từ một máy chủ từ xa.
Bên cạnh đó, một tệp nhị phân chứa mã để thả các script Python và một tệp thực thi khác có tên main.exe đã khởi chạy tệp này với mục đích thu thập thông tin xác thực từ các trình duyệt web. Phân tích của Rapid7 về main.exe cho thấy các lỗi phần mềm khiến nó không thể chạy một cách bình thường.
RustDoor, một backdoor dựa trên ngôn ngữ lập trình Rust, lần đầu tiên được Bitdefender ghi nhận vào tháng 2/2024 vừa qua, nhắm vào các thiết bị Apple MacOS bằng cách giả mạo làm bản cập nhật cho Microsoft Visual Studio, đây là một hình thức tấn công có chủ đích bằng cách sử dụng mồi nhử là các bản cập nhật mới.
Phân tích của công ty an ninh mạng S2W của Hàn Quốc đã phát hiện ra phiên bản Windows có tên GateDoor được lập trình bằng Golang. Cả Rustdoor và GateDoor đều được xác nhận là được phát tán dưới dạng các bản cập nhật chương trình thông thường hoặc các tiện ích, các nhà nghiên cứu Minyeop Choi, Sojun Ryu, Sebin Lee và HuiSeong Yang của S2W đã lưu ý rằng: “RustDoor và GateDoor có các điểm cuối trùng lặp được sử dụng khi giao tiếp với máy chủ C&C và có các chức năng tương tự”.
Việc sử dụng trình cài đặt JAVS Viewer bị trojan hóa để phân phối phiên bản Windows của RustDoor trước đây cũng đã được S2W cảnh báo vào ngày 02/4/2024 trong một bài đăng chia sẽ trên nền tảng xã hội X. Hiện tại vẫn chưa rõ làm thế nào trang web của nhà cung cấp bị xâm nhập và một trình cài đặt độc hại tồn tại sẵn để tải xuống.
Một trong những thông báo gần đây, JAVS cho biết họ đã xác định được "vấn đề tiềm ẩn" với JAVS Viewer phiên bản 8.3.7. Họ đã gỡ bỏ phiên bản bị ảnh hưởng khỏi trang web, đặt lại tất cả và tiến hành kiểm tra toàn diện các hệ thống của mình.
Phía JAVS cho biết: “Không có mã nguồn, chứng chỉ, hệ thống hoặc bản phát hành phần mềm nào khác của JAVS bị xâm phạm trong sự cố lần này". "Tệp tin được đề cập không xuất phát từ JAVS hoặc bất kỳ bên thứ ba nào liên kết với JAVS. Chúng tôi đặc biệt khuyến khích tất cả người dùng xác minh rằng JAVS đã ký kỹ thuật số vào bất kỳ phầm mêm JAVS nào mà khách hàng cài đặt”.
Người dùng được khuyến nghị kiểm tra các dấu hiệu bị tấn công và nếu phát hiện bị nhiễm, hãy khôi phục hoàn toàn tất cả các thiết bị đầu cuối bị ảnh hưởng, đặt lại tất cả mật khẩu và cập nhật lên phiên bản mới nhất của JAVS Viewer.
TÀI LIỆU THAM KHẢO |
Nguyễn Minh, Viện KHCNMM
09:00 | 21/05/2024
13:00 | 27/05/2024
07:00 | 08/04/2024
13:00 | 28/08/2024
Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.
09:00 | 20/06/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
08:00 | 11/06/2024
Mới đây, các chuyên gia tại Zscaler (California) phát hiện ra hai ứng dụng có chứa mã độc Anatsa xuất hiện trên cửa hàng Google Play với tên gọi PDF Reader & File Manager và QR Reader & File Manager.
12:00 | 06/05/2024
Trên trang web của RansomHub, nhóm tin tặc tống tiền này đã công bố một số dữ liệu đã đánh cắp từ công ty con Change Healthcare của United Health. Đây là hành động nhằm mục đích yêu cầu công ty chăm sóc sức khỏe của Hoa Kỳ phải đáp ứng những điều khoản trong thỏa thuận tống tiền của tin tặc.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024