Saldırganlar, geniş çapta kullanılan Justice AV Çözümleri (JAVS) mahkeme salonu video kayıt yazılımının, tehlikeye atılmış sistemleri ele geçirmelerine izin veren kötü amaçlı yazılımlarla geri yüklediler.
JAVS olarak da bilinen bu yazılımın arkasındaki şirket, dijital kayıt aracının şu anda birçok mahkeme salonunda, yasal ofislerde, düzeltme tesislerinde ve dünya çapında devlet kurumlarında 10.000'den fazla kurulum olduğunu söylüyor.
JAVS o zamandan beri tehlikeye atılan versiyonu resmi web sitesinden kaldırdı ve kötü niyetli bir fffmpeg.exe ikili içeren truva yazılımı "JAV'lerden veya JAV'larla ilişkili herhangi bir 3. taraftan gelmediğini" söyledi.
Şirket ayrıca tüm sistemlerin tam bir denetimi yürüttü ve çalınırsa gelecekteki ihlal girişimlerinde kullanılamadıklarından emin olmak için tüm şifreleri sıfırladı.
Şirket, "Siber yetkililerle sürekli izleme ve işbirliği yoluyla, izleyici 8.3.7 yazılımımızı tehlikeye atılmış bir dosya ile değiştirme girişimlerini belirledik." Dedi.
Diyerek şöyle devam etti: "JAVS.com web sitesindeki şu anda mevcut olan tüm dosyaların gerçek ve kötü amaçlı yazılımsız olduğunu doğruladık. Ayrıca, bu olayda hiçbir JAVS kaynak kodu, sertifikası, sistem veya diğer yazılım sürümlerinin tehlikeye atılmadığını doğruladık."
Siber güvenlik şirketi Rapid7 bu tedarik zinciri olayını araştırdı (şimdi CVE-2024-4978 olarak izlendi) ve S2W Talon Tehdit İstihbarat Grubu'nun ilk olarak Nisan ayı başlarında Truva atlı JAVS montajcısını tespit ettiğini ve Rustdoor/Gatedoor kötü amaçlı yazılımlarına bağladığını buldu.
10 Mayıs'ta CVE-2024-4978 ile bağlantılı bir olayı analiz ederken, Rapid7, kötü amaçlı yazılımın yüklendikten ve başlatıldıktan sonra sistem bilgilerini komut ve kontrol (C2) sunucusuna gönderdiğini buldu.
Daha sonra, Windows için olay izlemesini (ETW) devre dışı bırakmaya çalışacak ve kötü amaçlı yazılım tarama arayüzünü (AMSI) atlamaya çalışan iki gizlenmiş PowerShell komut dosyası yürütür.
Ardından, C2 sunucusundan indirilen ek bir kötü amaçlı yük, sistemdeki web tarayıcılarında depolanan kimlik bilgilerini toplamaya başlayacak Python komut dosyalarını bırakır.
Rapid7'ye göre, birçok güvenlik satıcısı tarafından kötü amaçlı yazılım damlası olarak sınıflandırılan backdoed yükleyici (JAVS.Viewer8.Setup_8.3.7.250-1.exe) resmi JAVS web sitesinden indirildi.
Perşembe günü, siber güvenlik şirketi JAVS müşterilerini, truva atışçısını kullandıkları tüm uç noktaları yeniden hayal etmeleri için uyardı.
Saldırganların erişiminin koptuğundan emin olmak için, potansiyel olarak tehlikeye atılan uç noktalara giriş yapmak için kullanılan tüm kimlik bilgilerini de sıfırlamalı ve JAVS Viewer yazılımını sistemleri yeniden değerlendirdikten sonra sürüm 8.3.9 veya daha yüksek bir sürüm (en son güvenli sürüm) olarak yükseltmelidir.
Şirket, "Saldırganlar ek arka kapılar veya kötü amaçlı yazılımlar implante etmiş olabileceğinden, yazılımı kaldırmak yetersizdir. Yeniden görüntüleme temiz bir arduvaz sağlıyor."
Diyerek şöyle devam etti: "Etkilenen uç noktaları tamamen yeniden hayal etmek ve ilişkili kimlik bilgilerini sıfırlamak, saldırganların arka kapı veya çalıntı kimlik bilgileri aracılığıyla devam etmemesini sağlamak için kritik öneme sahiptir."
Geçen yılın Mart ayında, video konferans yazılımı üreticisi 3CX, 3CXDESKTOPApp elektron tabanlı masaüstü istemcisinin, kötü amaçlı yazılım dağıtmak için UNC4736 olarak izlenen bir Kuzey Koreli hack grubu tarafından benzer bir saldırıda trojanize edildiğini açıkladı. Bu saldırı sırasında, tehdit aktörleri FFMPEG DLL'nin kötü niyetli bir versiyonunu kullandı.
Dört yıl önce, Rus APT29 Hacking Group, Solarwinds'in iç sistemlerini ihlal etti ve Mart 2020 ve Haziran 2020 arasında indirildikleri Solarwinds Orion BT yönetim platformuna kötü amaçlı kod enjekte ettikten sonra birden fazla ABD hükümet ajansının sistemlerine sızdı.
Bir JAVS sözcüsü, ihlalin ne zaman tespit edildiği ve varsa kaç müşterinin etkilendiği hakkında daha fazla bilgi için BleepingComputer tarafından bugün daha önce BleepingComputer tarafından temasa geçildiğinde hemen yorum yapmak için mevcut değildi.
Yeni Latrodectus kötü amaçlı yazılım saldırıları Microsoft, Cloudflare temalarını kullanıyor
Yeni Wpeeper Android kötü amaçlı yazılım, hacklenen WordPress sitelerinin arkasına saklanıyor
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
GitHub Push KeyZetsu Kötü Yazılımında Kötü niyetli Visual Studio Projeleri
Google Reklamlar Maltizing tarafından hedeflenen ARC tarayıcı pencereleri başlatıldı
Kaynak: Bleeping Computer