Những kẻ tấn công đã thực hiện đặt backdoor vào trình cài đặt phần mềm ghi hình tòa án - được phát triển bởi JAVS, để phát tán các phần mềm độc hại liên quan đến một implant được biết với tên gọi RustDoor.
Cuộc tấn công chuỗi cung ứng phần mềm này được theo dõi dưới tên CVE-2024-4978 (Điểm CVSS 8.7), ảnh hưởng đến JAVS Viewer phiên bản 8.3.7, một thành phần của JAVS Suite 8 cho phép người dùng tạo, quản lý, công bố và xem các bản ghi kỹ thuật số của các phiên tòa, cuộc họp doanh nghiệp và các phiên họp hội đồng thành phố.
Hình 1. Mô tả đánh giá và mức độ nguy hiểm của lỗ hổng CVE-2024-4978
Công ty an ninh mạng Rapid7 cho biết, họ đã bắt đầu một cuộc điều tra vào đầu tháng 5/2024 sau khi phát hiện ra một tệp thực thi độc hại có tên là fffmpeg.exe trong thư mục cài đặt Windows của phần mềm, cuộc điều tra dẫn đến một tệp nhị phân có tên “JAVS Viewer Setup 8.3.7.250-1.exe” được tải xuống từ trang web chính thức của JAVS vào ngày 05/3/2024.
“Phân tích trình cài đặt JAVS Viewer Setup 8.3.7.250-1.exe cho thấy, nó đã được ký với một chứng chỉ Authenticode không mong muốn và chứa tệp nhị phân fffmpeg.exe”, các nhà nghiên cứu của Rapid7 cho biết thêm rằng họ đã phát hiện thấy các script PowerShell được mã hóa đang được thực thi bởi tệp nhị phân fffmpeg.exe.
Cả fffmpeg.exe và trình cài đặt đều được ký bởi một chứng chỉ Authenticode phát hành cho “Vanguard Tech Limited”, thay vì “Justice AV Solution Inc” - tổ chức chứng chỉ được sử dụng để xác thực các phiên bản hợp pháp của phần mềm.
Khi thực thi, fffmpeg.exe sẽ thiết lập kết nối với máy chủ điều khiển và kiểm soát (C&C) sử dụng các socket của Windows và các yêu cầu WinHTTP để gửi thông tin về máy chủ bị tấn công và chờ lệnh tiếp theo từ máy chủ. Ngoài ra, nó còn được thiết kể chạy các script PowerShell được mã hóa nhằm cố gắng vượt qua giao diện quét phần mềm độc hại (AMSI) và vô hiệu hóa Event Tracing for Windows (ETW), sau đó thực thi một lệnh để tải xuống một payload bổ sung được ngụy trang thành trình cài đặt cho Google Chrome (chrome_installer.exe) từ một máy chủ từ xa.
Bên cạnh đó, một tệp nhị phân chứa mã để thả các script Python và một tệp thực thi khác có tên main.exe đã khởi chạy tệp này với mục đích thu thập thông tin xác thực từ các trình duyệt web. Phân tích của Rapid7 về main.exe cho thấy các lỗi phần mềm khiến nó không thể chạy một cách bình thường.
RustDoor, một backdoor dựa trên ngôn ngữ lập trình Rust, lần đầu tiên được Bitdefender ghi nhận vào tháng 2/2024 vừa qua, nhắm vào các thiết bị Apple MacOS bằng cách giả mạo làm bản cập nhật cho Microsoft Visual Studio, đây là một hình thức tấn công có chủ đích bằng cách sử dụng mồi nhử là các bản cập nhật mới.
Phân tích của công ty an ninh mạng S2W của Hàn Quốc đã phát hiện ra phiên bản Windows có tên GateDoor được lập trình bằng Golang. Cả Rustdoor và GateDoor đều được xác nhận là được phát tán dưới dạng các bản cập nhật chương trình thông thường hoặc các tiện ích, các nhà nghiên cứu Minyeop Choi, Sojun Ryu, Sebin Lee và HuiSeong Yang của S2W đã lưu ý rằng: “RustDoor và GateDoor có các điểm cuối trùng lặp được sử dụng khi giao tiếp với máy chủ C&C và có các chức năng tương tự”.
Việc sử dụng trình cài đặt JAVS Viewer bị trojan hóa để phân phối phiên bản Windows của RustDoor trước đây cũng đã được S2W cảnh báo vào ngày 02/4/2024 trong một bài đăng chia sẽ trên nền tảng xã hội X. Hiện tại vẫn chưa rõ làm thế nào trang web của nhà cung cấp bị xâm nhập và một trình cài đặt độc hại tồn tại sẵn để tải xuống.
Một trong những thông báo gần đây, JAVS cho biết họ đã xác định được "vấn đề tiềm ẩn" với JAVS Viewer phiên bản 8.3.7. Họ đã gỡ bỏ phiên bản bị ảnh hưởng khỏi trang web, đặt lại tất cả và tiến hành kiểm tra toàn diện các hệ thống của mình.
Phía JAVS cho biết: “Không có mã nguồn, chứng chỉ, hệ thống hoặc bản phát hành phần mềm nào khác của JAVS bị xâm phạm trong sự cố lần này". "Tệp tin được đề cập không xuất phát từ JAVS hoặc bất kỳ bên thứ ba nào liên kết với JAVS. Chúng tôi đặc biệt khuyến khích tất cả người dùng xác minh rằng JAVS đã ký kỹ thuật số vào bất kỳ phầm mêm JAVS nào mà khách hàng cài đặt”.
Người dùng được khuyến nghị kiểm tra các dấu hiệu bị tấn công và nếu phát hiện bị nhiễm, hãy khôi phục hoàn toàn tất cả các thiết bị đầu cuối bị ảnh hưởng, đặt lại tất cả mật khẩu và cập nhật lên phiên bản mới nhất của JAVS Viewer.
|
TÀI LIỆU THAM KHẢO |
Nguyễn Minh, Viện KHCNMM
09:00 | 21/05/2024
13:00 | 27/05/2024
16:00 | 19/09/2024
07:00 | 08/04/2024
14:00 | 07/10/2024
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
14:00 | 24/09/2024
Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
16:00 | 31/08/2024
Theo Entropia Intel, từ ngày 26/8, loạt trang web liên quan đến chính phủ Pháp đã ngừng hoạt động do bị tấn công từ chối dịch vụ (DDoS). Sự việc diễn ra sau khi Pháp bắt CEO Telegram Pavel Durov hôm 24/8.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
