CVE-2024-4978:后门正义AV解决方案查看器软件用于明显的供应链攻击

最后更新于2024年5月30日星期四07:25:19 GMT

*The following Rapid7 team members contributed to this blog: Ipek Solak, Thomas Elkins, Evan McCann, Matthew Smith, Jake McMahon, Tyler McGraw, Ryan Emmons, Stephen Fewer, 和约翰·芬宁格*

Overview

Justice AV Solutions (JAVS)是一家美国公司.S.这家总部位于美国的公司专门为法庭环境提供数字视听记录解决方案. 根据供应商的网站, JAVS技术被用于法庭, 分庭和陪审室, 监狱及监狱设施, and council, hearing, 还有演讲室. Their company website cites over 10,000 installations of their technologies worldwide.

Rapid7已经确定用户使用java浏览器v8.3.7 .安装有高危，应立即采取行动. 该版本包含一个后门安装程序，允许攻击者完全控制受影响的系统. 完全重新映像受影响的端点并重置相关凭证对于确保攻击者不会通过后门或窃取凭证继续攻击至关重要. 用户应安装最新版本的JAVS Viewer (8).3.8 or higher) after 重新成像受影响的系统. These findings were identified through an investigation performed by Rapid7 analysts.

On Friday, May 10, 2024, Rapid7 initiated an investigation into an incident involving the execution of a binary named fffmpeg.exe 从文件路径内 C:\Program Files (x86)\JAVS\Viewer 8\. The investigation traced the infection back to the download of a binary named java浏览器设置8.3.7.250-1.exe 该程序于3月5日从JAVS官方网站下载. 安装程序分析 java浏览器设置8.3.7.250-1.exe 显示它是用意外的Authenticode签名签名的，并且包含二进制文件 fffmpeg.exe. 在调查过程中，Rapid7观察到编码的PowerShell脚本被二进制执行 fffmpeg.exe.

Based on open-source intelligence, Rapid7 determined that the binary fffmpeg.exe 与 GateDoor / Rustdoor 由安全公司S2W的研究人员发现的恶意软件家族.

Note: CVE-2024-4978 has been added to the U.S. 截至5月29日的网络安全和基础设施安全(CISA)已知利用漏洞(KEV)列表, 2024.

产品描述

JAVS Suite 8是一个音频/视频录制组合, viewing, and management software for government organizations and businesses. 受影响的“JAVS Viewer”软件旨在打开由其他JAVS Suite软件创建的媒体和日志文件. 它可以通过供应商的网站下载, 它是作为一个基于windows的安装程序包发布的，在执行时提示需要高级权限.

Credit

这个问题是由Rapid7的检测和响应分析师Ipek Solak发现并记录的. Rapid7非常感谢美国.S. 感谢网络安全和基础设施安全局(CISA)及时协助协调披露此问题, 并感谢Justice AV Solutions的快速反应.

Justice AV Solutions的完整供应商声明可在本博客末尾找到，其中包括有关JAVS所采取行动的信息.

您可以找到Rapid7的协调披露政策 here.

rapid7观察到的攻击者行为

恶意Windows安装程序 JAVS.Viewer8.Setup_8.3.7.250-1.exe 包含一个意外的二进制文件 fffmpeg.exe (1.4mb, SHA1: e41ec15f2bac76914b4a86cade3a0f4619167f52). Note the three f characters in the binary name; the expected ffmpeg.exe 二进制只有两个 f characters.

在VirusTotal中搜索该二进制文件的SHA1 reveals that several vendors classify this binary as a malicious dropper:

图1 - Dropper的VirusTotal Details

VirusTotal reports this binary was first seen on the VT platform May 3, 2024.

Both the fffmpeg.exe 二进制文件和安装程序二进制文件由颁发给“Vanguard Tech Limited”的Authenticode证书签名。. 这是出乎意料的, 因为其他看起来合法的JAVS二进制文件是由颁发给Justice AV Solutions Inc的证书签名的。. Searching VirusTotal for other files signed by “Vanguard Tech Limited” shows the following.

图2- VirusTotal Vanguard证书结果

上述情况表明，可能存在另一个版本的恶意安装程序(SHA1: b8e97333fc1b5cd29a71299a8f82a541cabf4d59)和另一个恶意安装程序 fffmpeg.exe (SHA1: b9d13055766d792abaf1d11f18c6ee7618155a0e). These binaries were first seen on the VirusTotal platform April 1, 2024.

Windows安装程序文件(b8e97333fc1b5cd29a71299a8f82a541cabf4d59)包含多个捆绑文件, 包括一个名为 Dll2.dll (SHA1: cd60955033d1da273a3fda61f69d76f6271e7e4c). The file contains a string called “HelloWorld” and from the execution path perspective, 这看起来像个测试. 从OPSEC的角度来看, the file was not ‘cleaned’ but contains the compilation information, 在本例中是完整的PDB路径: C:\Users\User\source\repos\Dll2\x64\Debug\Dll2.pdb

开发时间表

• Feb 10, 2024: 本证明书是为有关的先锋科技有限公司而发出的, 证书上哪家公司的总部在伦敦.
• Feb 21, 2024: The first of the two malicious JAVS Viewer packages is signed with the Vanguard certificate.
• April 2, 2024: 推特用户@2RunJack2 tweets 关于官方JAVS下载页面提供的恶意软件. 没有说明是否通知了供应商.
• Mar 12, 2024: The second of the two malicious JAVS Viewer packages is signed with the Vanguard certificate.
• May 10, 2024: Rapid7 investigates a new alert in a 管理检测和响应 customer environment. 感染源可以追溯到从官方JAVS站点下载的安装程序. 受害者下载的恶意软件文件, 第一个查看器包, 在供应商的下载页面上无法访问. It’s unknown who removed the malicious package from the downloads page (i.e.(供应商或威胁参与者).
• May 12, 2024: Rapid7发现了另外三种恶意载荷，这些载荷通过端口8000托管在威胁参与者的C2基础设施上: chrome_installer.exe, firefox_updater.exe, and OneDriveStandaloneUpdater.exe.
• May 13, 2024: Rapid7识别包含恶意软件的未链接安装文件, 第二个查看器包, 仍然由官方供应商网站提供服务. This confirms that the vendor site was the source of the initial infection.
• May 17, 2024: Rapid7发现攻击者删除了二进制文件 OneDriveStandaloneUpdater.exe 从C2基础设施中取出，用新的二进制文件替换， ChromeDiscovery.exe. This indicates that the threat actor is actively updating their C2 infrastructure.

Impact

在Rapid7对二进制文件的初始检查期间 fffmpeg.exe, it became evident that the program facilitates unauthorized remote access. 在执行时, fffmpeg.exe 使用Windows套接字和WinHTTP请求持久地与命令和控制(C2)服务器通信. 一旦连接成功， fffmpeg.exe 传输被入侵主机的数据, 包括主机名, 操作系统详细信息, 处理器体系结构, 程序工作目录和用户名到C2.

Figure 3 - Sample Network Traffic Containing Information About the Host

Subsequently, 建立持久连接, 二进制文件准备好接收来自C2的命令.

在调查一个关于二进制文件的事件时 fffmpeg.exe, Rapid7 observed the execution of two obfuscated PowerShell scripts.

图4 - fffmpeg生成的编码PowerShell脚本.exe

执行的PowerShell脚本 fffmpeg.exe 并确定该脚本将试图绕过反恶意软件扫描界面(AMSI)并禁用启动PowerShell会话的Windows事件跟踪(ETW), 在执行命令下载额外的有效负载之前.

图5 -由fffmpeg生成的去混淆PowerShell脚本.exe

在分析过程中 chrome_installer.exe, Rapid7 observed that the binary contained code to drop Python scripts and a binary named main.exe 在Temp文件夹中，传递字符串 {临时}\ \ onefile_ {PID} _{时间} as an argument to a function whose responsibility was to build out the file path.

Figure 6 - Temp Folder Creation Using String {TEMP}\onefile_{PID}_{TIME}

一旦新软件被抛弃， chrome_installer.exe 谁负责执行二进制文件 main.exe 使用函数 CreateProcessW. 经分析 main.exe, Rapid7观察到，它在资源部分包含编译过的Python代码，其目的是抓取浏览器的凭据. 我们还观察到 main.exe 编译时使用 Nuitka, a Python program designed to compile Python scripts into standalone executables. 在调查过程中，Rapid7观察到 main.exe did not execute properly, indicating an issue in the original source code.

图7 -对Nuitka的代码引用

IOCs

由开源情报(OSINT)识别

Remediation

拥有版本8的用户.3.7 of the JAVS Viewer executable installed are at high risk and should take immediate action. 该版本包含一个后门安装程序，允许攻击者完全控制受影响的系统.

要解决此问题，受影响的用户应:

• 重新映像java Viewer 8中的任何端点.3.7安装完毕. 仅仅卸载软件是不够的, 因为攻击者可能植入了额外的后门或恶意软件. 重新成像提供了一个干净的石板.
• Reset credentials for any accounts that were logged into affected endpoints. 这包括端点本身的本地帐户以及在JAVS Viewer 8期间访问的任何远程帐户.3.7安装完毕. 攻击者可能从受损的系统中窃取了凭证.
• 重置受影响端点上web浏览器中使用的凭据. 浏览器会话可能被劫持来窃取cookie, 存储的密码, 或其他敏感信息.
• 安装最新版本的JAVS Viewer (8).3.8或更高)，然后重新成像受影响的系统. 新版本不包含8中存在的后门.3.7.

完全重新映像受影响的端点并重置相关凭证对于确保攻击者不会通过后门或窃取凭证继续攻击至关重要. 所有运行JAVS Viewer 8的组织.3.7应该立即采取这些步骤来解决妥协.

Rapid7客户

InsightIDR, 管理检测和响应, 和ladbrokes立博中文版客户通过Rapid7扩展的检测规则库拥有现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight代理，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是部署的检测的非详尽列表，并将警告与此活动相关的行为:

• 可疑进程-从ProgramData的根执行
• 攻击者技术- PowerShell注册表摇篮
• PowerShell -混淆脚本
• 攻击者技术- PowerShell下载摇篮
• 攻击者技术- PowerShell反勾混淆
• 后门-潜在的JAVS后门

InsightVM和expose客户将能够评估他们对CVE-2024-4978的暴露，预计将在今天(周四)提供漏洞检查, 5月23日)内容发布.

供应商声明

Justice AV Solutions provided the following statement to Rapid7 on Wednesday, May 22, 2024. 根据JAVS:

“仲量联行致力于为客户提供安全可靠的软件解决方案。. 我们最近发现了一个潜在的安全问题，我们的JAVS Viewer软件的前一个版本(版本8).3.7).

Through ongoing monitoring and collaboration with cyber authorities, 我们发现有人企图替换我们的Viewer 8.3.带有受损文件的软件. 我们调出了所有版本的Viewer 8.3.7从JAVS网站, 重置所有密码, 并对所有JAVS系统进行了全面的内部审计. 我们确认了JAVS上所有当前可用的文件.Com网站均为正版，无恶意软件. 我们进一步验证没有java源代码, certificates, systems, 或者其他软件版本在这次事件中受到了损害.

The file in question did not originate from JAVS or any 3rd party associated with JAVS. 我们强烈建议所有用户验证JAVS是否对他们安装的任何JAVS软件进行了数字签名. Any files found signed by other parties should be considered suspect. We are revisiting our release process to strengthen file certification. 我们强烈建议客户随时更新所有软件版本和安全补丁，并使用强大的安全措施, 例如防火墙和恶意软件防护.

JAVS service technicians typically install the Viewer software in question. 我们让服务团队的所有成员在任何可能受影响的系统上验证Viewer软件的安装, specifically checking for the presence of the malicious file in question - fffmpeg.Exe有三个f.注意，java文件为ffmpeg.带有两个“f”的Exe是合法文件.

你应该做什么:
手动检查文件 fffmeg.exe:发现或检测到恶意文件, 我们建议对PC进行全面重新映像，并重置该计算机上用户使用的所有凭据. If Viewer 8.3.7.250是当前安装的版本, 但是没有发现恶意文件, we advise uninstalling the Viewer software and performing a full Anti-Virus/malware scan. 在升级到较新版本的Viewer 8之前，请重置受影响系统上使用的任何密码.

升级JAVS查看器:我们强烈建议所有JAVS查看器软件的用户升级到最新版本(版本8).3.9 or higher). 升级很简单，可以按照软件更新通知中的说明或访问我们的网站来完成 http://www.javs.com/downloads/

我们感谢您的理解和合作，为我们所有用户维护一个安全的环境. 如果您有任何问题或疑虑, please do not hesitate to contact our support team at 1-877-JAVSHLP (877-528-7457).

Sincerely,
司法署反病毒解决方案保安小组”