Les attaquants ont backdooré l’installateur du logiciel d’enregistrement vidéo de salle d’audience Justice AV Solutions (JAVS) largement utilisé avec des logiciels malveillants qui leur permettent de prendre le contrôle de systèmes compromis.

La société à l’origine de ce logiciel, également connue sous le nom de JAVS, affirme que l’outil d’enregistrement numérique compte actuellement plus de 10 000 installations dans de nombreuses salles d’audience, bureaux juridiques, établissements correctionnels et agences gouvernementales du monde entier.

JAVS a depuis supprimé la version compromise de son site officiel, affirmant que le logiciel cheval de Troie contenait un fffmpeg malveillant.binaire exe « ne provenait pas de JAVS ou d’une tierce partie associée à JAVS. »

L’entreprise a également effectué un audit complet de tous les systèmes et réinitialisé tous les mots de passe pour s’assurer qu’en cas de vol, ils ne pourraient pas être utilisés lors de futures tentatives de violation.

« Grâce à une surveillance continue et à une collaboration avec les cyber-autorités, nous avons identifié des tentatives de remplacement de notre logiciel Viewer 8.3.7 par un fichier compromis », a déclaré la société.

« Nous avons confirmé tous les fichiers actuellement disponibles sur le JAVS.com les sites Web sont authentiques et exempts de logiciels malveillants. Nous avons également vérifié qu’aucun code source, certificat, système ou autre version logicielle JAVS n’avait été compromis lors de cet incident. »

La société de cybersécurité Rapid7 a enquêté sur cet incident de la chaîne d’approvisionnement (désormais suivi sous le numéro CVE-2024-4978) et a découvert que le groupe de renseignement sur les menaces S2W Talon avait repéré pour la première fois l’installateur JAVS cheval de Troie début avril et l’avait lié au malware Rustdoor/GateDoor.

Lors de l’analyse d’un incident lié à CVE-2024-4978 le 10 mai, Rapid7 a constaté que le logiciel malveillant envoie des informations système à son serveur de commande et de contrôle (C2) après son installation et son lancement.

Il exécute ensuite deux scripts PowerShell obscurcis qui tenteront de désactiver le suivi des événements pour Windows (ETW) et de contourner l’interface d’analyse anti-Malware (AMSI).

Ensuite, une charge utile malveillante supplémentaire téléchargée à partir de son serveur C2 supprime les scripts Python, qui commenceront à collecter les informations d’identification stockées dans les navigateurs Web du système.

Selon Rapid7, l’installateur backdoor (JAVS.Visionneur8.Mise en Place_8.3. 7. 250-1.exe— – classé par de nombreux fournisseurs de sécurité comme un compte-gouttes de logiciels malveillants – a été téléchargé à partir du site Web officiel de JAVS.

Tous les points de terminaison JAVS potentiellement compromis doivent être réimaginés
Jeudi, la société de cybersécurité a averti les clients de JAVS de réimager tous les points de terminaison sur lesquels ils ont déployé le programme d’installation du cheval de Troie.

Pour s’assurer que l’accès des attaquants est coupé, ils doivent également réinitialiser toutes les informations d’identification utilisées pour se connecter aux points de terminaison potentiellement compromis et mettre à niveau le logiciel JAVS Viewer vers la version 8.3.9 ou supérieure (la dernière version sécurisée) après avoir réimagé les systèmes.

« La simple désinstallation du logiciel est insuffisante, car les attaquants peuvent avoir implanté des portes dérobées ou des logiciels malveillants supplémentaires. La réimagerie fournit une table rase », a averti la société.

« Il est essentiel de réimager complètement les points de terminaison affectés et de réinitialiser les informations d’identification associées pour s’assurer que les attaquants n’ont pas persisté par des portes dérobées ou des informations d’identification volées. »

En mars de l’année dernière, le fabricant de logiciels de visioconférence 3CX a révélé que son client de bureau électronique 3CXDesktopApp avait également été victime d’un cheval de Troie lors d’une attaque similaire menée par un groupe de piratage nord-coréen connu sous le nom de UNC4736 pour distribuer des logiciels malveillants. Au cours de cette attaque, les auteurs de la menace ont utilisé une version malveillante d’une DLL ffmpeg.

Il y a quatre ans, le groupe de piratage russe APT29 a violé les systèmes internes de SolarWinds et infiltré les systèmes de plusieurs agences gouvernementales américaines après avoir injecté du code malveillant dans les versions de la plate-forme d’administration informatique SolarWinds Orion qu’ils ont téléchargées entre mars 2020 et juin 2020.

Un porte-parole de JAVS n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée pour plus d’informations sur le moment où la violation a été détectée et le nombre de clients touchés, le cas échéant.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *