Программу для видеозаписи судебных процессов Justice AV Solutions (JAVS) взломали, внедрив в установочный файл вредоносное ПО, которое способно захватить управление зараженными системами. JAVS широко используется в судах, юридических компаниях, исправительных учреждениях и государственных органах по всему миру. У программы на данный момент более 10 000 установок.
После обнаружения угрозы компания удалила скомпрометированную версию с официального сайта. Чтобы предотвратить повторение подобных инцидентов, компания провела полный аудит всех систем и сбросила пароли, чтобы украденные данные не могли быть использованы в будущем. В ходе постоянного мониторинга и сотрудничества с органами по кибербезопасности были выявлены попытки хакеров заменить программу JAVS Viewer 8.3.7 на зараженный файл.
JAVS подтвердила, что все доступные файлы на сайте JAVS.com являются подлинными и не содержат вредоносных программ. Компания также проверила, что исходный код JAVS, сертификаты, системы и другие программные продукты не были скомпрометированы в результате инцидента.
ИБ-компания Rapid7 провела расследованиеинцидента. Уязвимость получила идентификатор CVE-2024-4978 (оценка CVSS 4.0: 8.7). Установлено, что группа анализа угроз S2W Talon первой обнаружилазараженный установочный файл в начале апреля и связала его с вредоносным ПО Rustdoor/GateDoor.
Во время анализа одного из инцидентов, связанных с CVE-2024-4978, Rapid7 выяснила, что вредоносная программа после установки отправляет информацию о системе на ” data-html=”true” data-original-title=”C2″ >C2-сервер. Далее выполняются два скрытых скрипта PowerShell, которые пытаются отключить трассировку событий Windows (Event Tracing for Windows, ETW) и обойти интерфейс сканирования вредоносных программ (Anti-Malware Scan Interface, AMSI).
Следующим этапом вредонос загружает дополнительные вредоносные файлы с C2-сервера, которые собирают учетные данные из браузеров. Rapid7 подтвердила, что зараженный установочный файл (JAVS.Viewer8.Setup_8.3.7.250-1.exe) был скачан с официального сайта JAVS.
Rapid7 призвала всех клиентов JAVS переустановить системы на всех потенциально скомпрометированных устройствах, чтобы полностью прервать доступ злоумышленников. Кроме того, следует сбросить все учетные данные на устройствах и обновить ПО до версии 8.3.9 или выше.
Rapid7 пояснила, что простое удаление программы недостаточно, так как злоумышленники могли внедрить дополнительные бэкдоры или вредоносные программы. Переустановка систем позволяет начать “с чистого листа”.