最后更新于2024年5月30日星期四07:25:19 GMT
以下是Rapid7团队成员:Ipek Solak, Thomas Elkins, Evan McCann, Matthew Smith, Jake McMahon, Tyler McGraw, Ryan Emmons, Stephen Fewer, 和约翰·芬宁格*
Overview
Justice AV Solutions (JAVS)是一家美国公司.S.这家总部位于美国的公司专门为法庭环境提供数字视听记录解决方案. 根据供应商的网站, JAVS技术被用于法庭, 分庭和陪审室, 监狱及监狱设施, and council, hearing, 还有演讲室. 他们的公司网站引用了他们的技术在全球超过10,000个安装.
Rapid7已经确定用户使用java浏览器v8.3.7 .安装有高危,应立即采取行动. 该版本包含一个后门安装程序,允许攻击者完全控制受影响的系统. 完全重新映像受影响的端点并重置相关凭证对于确保攻击者不会通过后门或窃取凭证继续攻击至关重要. 用户应安装最新版本的JAVS Viewer (8).3.8 or higher) after 重新成像受影响的系统. 这些发现是通过Rapid7分析师进行的调查确定的.
On Friday, May 10, 2024, Rapid7发起了一项调查,调查涉及执行名为 fffmpeg.exe 从文件路径内 C:\Program Files (x86)\JAVS\Viewer 8\. 调查将感染追溯到下载一个名为 java浏览器设置8.3.7.250-1.exe 该程序于3月5日从JAVS官方网站下载. 安装程序分析 java浏览器设置8.3.7.250-1.exe 显示它是用意外的Authenticode签名签名的,并且包含二进制文件 fffmpeg.exe. 在调查过程中,Rapid7观察到编码的PowerShell脚本被二进制执行 fffmpeg.exe.
基于开源智能,Rapid7确定了二进制文件 fffmpeg.exe 与 GateDoor / Rustdoor 由安全公司S2W的研究人员发现的恶意软件家族.
Note: CVE-2024-4978 has been added to the U.S. 截至5月29日的网络安全和基础设施安全(CISA)已知利用漏洞(KEV)列表, 2024.
产品描述
JAVS Suite 8是一个音频/视频录制组合, viewing, 以及政府机构和企业的管理软件. 受影响的“JAVS Viewer”软件旨在打开由其他JAVS Suite软件创建的媒体和日志文件. 它可以通过供应商的网站下载, 它是作为一个基于windows的安装程序包发布的,在执行时提示需要高级权限.
Credit
这个问题是由Rapid7的检测和响应分析师Ipek Solak发现并记录的. Rapid7非常感谢美国.S. 感谢网络安全和基础设施安全局(CISA)及时协助协调披露此问题, 并感谢Justice AV Solutions的快速反应.
Justice AV Solutions的完整供应商声明可在本博客末尾找到,其中包括有关JAVS所采取行动的信息.
您可以找到Rapid7的协调披露政策 here.
rapid7观察到的攻击者行为
恶意Windows安装程序 JAVS.Viewer8.Setup_8.3.7.250-1.exe 包含一个意外的二进制文件 fffmpeg.exe (1.4mb, SHA1: e41ec15f2bac76914b4a86cade3a0f4619167f52). 注意这三点 f characters in the binary name; the expected ffmpeg.exe 二进制只有两个 f characters.
在VirusTotal中搜索该二进制文件的SHA1 reveals 一些供应商将此二进制文件归类为恶意丢弃程序:
图1 - Dropper的VirusTotal Details
VirusTotal报告称,该二进制文件于2024年5月3日首次在VT平台上出现.
Both the fffmpeg.exe 二进制文件和安装程序二进制文件由颁发给“Vanguard Tech Limited”的Authenticode证书签名。. 这是出乎意料的, 因为其他看起来合法的JAVS二进制文件是由颁发给Justice AV Solutions Inc的证书签名的。. 在VirusTotal搜索“先锋科技有限公司”签署的其他文件显示如下.
图2- VirusTotal Vanguard证书结果
上述情况表明,可能存在另一个版本的恶意安装程序(SHA1: b8e97333fc1b5cd29a71299a8f82a541cabf4d59)和另一个恶意安装程序 fffmpeg.exe (SHA1: b9d13055766d792abaf1d11f18c6ee7618155a0e). 这些二进制文件于2024年4月1日首次在VirusTotal平台上出现.
Windows安装程序文件(b8e97333fc1b5cd29a71299a8f82a541cabf4d59)包含多个捆绑文件, 包括一个名为 Dll2.dll (SHA1: cd60955033d1da273a3fda61f69d76f6271e7e4c). 该文件包含一个名为“HelloWorld”的字符串,从执行路径的角度来看, 这看起来像个测试. 从OPSEC的角度来看, 文件未被“清理”,但包含编译信息, 在本例中是完整的PDB路径: C:\Users\User\source\repos\Dll2\x64\Debug\Dll2.pdb
开发时间表
- Feb 10, 2024: 本证明书是为有关的先锋科技有限公司而发出的, 证书上哪家公司的总部在伦敦.
- Feb 21, 2024: 两个恶意JAVS Viewer包中的第一个是用Vanguard证书签名的.
- April 2, 2024: 推特用户@2RunJack2 tweets 关于官方JAVS下载页面提供的恶意软件. 没有说明是否通知了供应商.
- Mar 12, 2024: 第二个恶意JAVS Viewer包是用Vanguard证书签名的.
- May 10, 2024: Rapid7在管理检测和响应客户环境中调查新警报. 感染源可以追溯到从官方JAVS站点下载的安装程序. 受害者下载的恶意软件文件, 第一个查看器包, 在供应商的下载页面上无法访问. 目前还不清楚是谁从下载页面删除了恶意软件包.e.(供应商或威胁参与者).
- May 12, 2024: Rapid7发现了另外三种恶意载荷,这些载荷通过端口8000托管在威胁参与者的C2基础设施上:
chrome_installer.exe,firefox_updater.exe, andOneDriveStandaloneUpdater.exe. - May 13, 2024: Rapid7识别包含恶意软件的未链接安装文件, 第二个查看器包, 仍然由官方供应商网站提供服务. 这证实了供应商网站是最初感染的来源.
- May 17, 2024: Rapid7发现攻击者删除了二进制文件
OneDriveStandaloneUpdater.exe从C2基础设施中取出,用新的二进制文件替换,ChromeDiscovery.exe. 这表明威胁参与者正在积极更新他们的C2基础设施.
Impact
在Rapid7对二进制文件的初始检查期间 fffmpeg.exe,很明显,该程序促进了未经授权的远程访问. 在执行时, fffmpeg.exe 使用Windows套接字和WinHTTP请求持久地与命令和控制(C2)服务器通信. 一旦连接成功, fffmpeg.exe 传输被入侵主机的数据, 包括主机名, 操作系统详细信息, 处理器体系结构, 程序工作目录和用户名到C2.
图3 -包含主机信息的示例网络流量
Subsequently, 建立持久连接, 二进制文件准备好接收来自C2的命令.
在调查一个关于二进制文件的事件时 fffmpeg.exe, Rapid7观察了两个混淆的PowerShell脚本的执行.
图4 - fffmpeg生成的编码PowerShell脚本.exe
执行的PowerShell脚本 fffmpeg.exe 并确定该脚本将试图绕过反恶意软件扫描界面(AMSI)并禁用启动PowerShell会话的Windows事件跟踪(ETW), 在执行命令下载额外的有效负载之前.
图5 -由fffmpeg生成的去混淆PowerShell脚本.exe
在分析过程中 chrome_installer.exe, Rapid7观察到该二进制文件包含用于删除Python脚本的代码和名为 main.exe 在Temp文件夹中,传递字符串 {临时}\ \ onefile_ {PID} _{时间} 作为函数的参数,该函数的职责是构建文件路径.
图6 -使用字符串{Temp}\onefile_{PID}_{TIME}创建临时文件夹
一旦新软件被抛弃, chrome_installer.exe 谁负责执行二进制文件 main.exe 使用函数 CreateProcessW. 经分析 main.exe, Rapid7观察到,它在资源部分包含编译过的Python代码,其目的是抓取浏览器的凭据. 我们还观察到 main.exe 编译时使用 Nuitka,一个Python程序,用于将Python脚本编译成独立的可执行文件. 在调查过程中,Rapid7观察到 main.exe 没有正确执行,表明原始源代码中有问题.
图7 -对Nuitka的代码引用
IOCs
| IOC | Description | SHA256 |
|---|---|---|
| JAVS.Viewer8.Setup_8.3.7.250-1.exe | JAVS Viewer 8.3.7 .从域名javs下载安装程序[.]com 证明有有效签名的: 主题:先锋科技有限公司 |
A5E24C10D595969858AF422C6DFF6BED5F9C6C49DC9622D694327323D8A57D72 |
fffmpeg.exe |
到达hxxps://45.120.177[.178/gateway/register and hxxps://45.120.177.178 /网关/报告 证明有有效签名的: 主题:先锋科技有限公司 |
A5E24C10D595969858AF422C6DFF6BED5F9C6C49DC9622D694327323D8A57D72 |
| Chrome_installer.exe | Potential second stage infostealer; however, 由于64位和32位兼容性问题而无法正常执行. | F8A734D5E7A7B99B29182DDDF804D5DAA9D876BF39CE7A04721794367A73DA51 |
| Main.exe | 作为…的一部分执行的 chrome_installer.exe,在资源部分包含Python编译的代码. 似乎会刮掉用户的浏览器凭据 |
4150452 d8041a6ec73c447cbe3b1422203fffdfbf5c845dbac1bed74b33a5e09 |
| 45.120.177[.]178 | 攻击者C2使用ISP Stark Industries Solutions Ltd | |
| hxxps://www[.]javs[.] com/download/45819/ | 官方JAVS网站URL, Rapid7观察到托管恶意软件 | |
| hxxps://45.120.177[.178 /网关/注册 | Path used by fffmpeg.exe to contact C2 |
|
| hxxps://45.120.177[.178年/网关/报告 | Path used by fffmpeg.exe to contact C2 |
|
| 先锋科技有限公司证书 | Issued by SSL.com: 由SSL颁发的“先锋科技有限公司”证书的pkcs# 7签名.代码签名中间CA RSA R1' |
|
| Dll2.dll | 与恶意安装程序捆绑在一起的“Hello World”测试库 | 2183年c102c107d11ae8aa1e9c0f2af3dc8fa462d0683a033d62a982364a0100d0 |
| firefox_updater.exe | 发现托管在C2上的端口8000上. 包含StealC InfoStealer | 4 f0ca76987edfe00022c8b9c48ad239229ea88532e2b7a7cd6811ae353cd1eda |
| ChromeDiscovery.exe | 发现托管在C2上的端口8000上. 二进制文件中包含Go二进制文件,类似于 fffmpeg.exe backdoor. 与从标识的同一C2通信 fffmpeg.exe.证明有有效签名的: 主题:先锋科技有限公司 |
D8DEF4437BD76279EC6351B65156D670EC0FED24D904E6648DE536FED1061671 |
| OneDriveStandaloneUpdater.exe | 发现托管在C2上的端口8000上. 二进制文件中包含Go二进制文件,类似于 fffmpeg.exe backdoor. 与从标识的同一C2通信 fffmpeg.exe.注意:该二进制文件后来从C2中删除并替换为ChromeDiscovery.exe |
C65EE0F73F53B287654B6446FFE7264E0D93B24302E7F0036F5E7DB3748749B9 |
由开源情报(OSINT)识别
| IOC | Description | SHA256 |
|---|---|---|
| JAVS.Viewer8.Setup_8.3.7.250-1.exe | 通过OSINT搜索C2 IP找到. http://www.virustotal.com/gui/file/fe408e2df48237b11cb724fa51b6d5e9c74c8f5d5b2955c22962095c7ed70b2c 证明有有效签名的: 主题:先锋科技有限公司 |
FE408E2DF48237B11CB724FA51B6D5E9C74C8F5D5B2955C22962095C7ED70B2C |
| fffmpeg.exe | 到达hxxps://45.120.177[.178/gateway/register and hxxps://45.120.177.178 /网关/报告 证明有有效签名的: 主题:先锋科技有限公司 |
AACE6F617EF7E2E877F3BA8FC8D82DA9D9424507359BB7DCF6B81C889A755535 |
Remediation
拥有版本8的用户.3.已安装的JAVS Viewer可执行文件中有7个存在高风险,应立即采取行动. 该版本包含一个后门安装程序,允许攻击者完全控制受影响的系统.
要解决此问题,受影响的用户应:
- 重新映像java Viewer 8中的任何端点.3.7安装完毕. 仅仅卸载软件是不够的, 因为攻击者可能植入了额外的后门或恶意软件. 重新成像提供了一个干净的石板.
- 重置登录到受影响端点的任何帐户的凭据. 这包括端点本身的本地帐户以及在JAVS Viewer 8期间访问的任何远程帐户.3.7安装完毕. 攻击者可能从受损的系统中窃取了凭证.
- 重置受影响端点上web浏览器中使用的凭据. 浏览器会话可能被劫持来窃取cookie, 存储的密码, 或其他敏感信息.
- 安装最新版本的JAVS Viewer (8).3.8或更高),然后重新成像受影响的系统. 新版本不包含8中存在的后门.3.7.
完全重新映像受影响的端点并重置相关凭证对于确保攻击者不会通过后门或窃取凭证继续攻击至关重要. 所有运行JAVS Viewer 8的组织.3.7应该立即采取这些步骤来解决妥协.
Rapid7客户
InsightIDR, 管理检测和响应, 和十大赌博正规信誉网址客户通过Rapid7扩展的检测规则库拥有现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight代理,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是部署的检测的非详尽列表,并将警告与此活动相关的行为:
- 可疑进程-从ProgramData的根执行
- 攻击者技术- PowerShell注册表摇篮
- PowerShell -混淆脚本
- 攻击者技术- PowerShell下载摇篮
- 攻击者技术- PowerShell反勾混淆
- 后门-潜在的JAVS后门
InsightVM和expose客户将能够评估他们对CVE-2024-4978的暴露,预计将在今天(周四)提供漏洞检查, 5月23日)内容发布.
供应商声明
Justice AV Solutions于2024年5月22日(周三)向Rapid7发表了以下声明. 根据JAVS:
“仲量联行致力于为客户提供安全可靠的软件解决方案。. 我们最近发现了一个潜在的安全问题,我们的JAVS Viewer软件的前一个版本(版本8).3.7).
通过与网络当局的持续监测和合作, 我们发现有人企图替换我们的Viewer 8.3.带有受损文件的软件. 我们调出了所有版本的Viewer 8.3.7从JAVS网站, 重置所有密码, 并对所有JAVS系统进行了全面的内部审计. 我们确认了JAVS上所有当前可用的文件.Com网站均为正版,无恶意软件. 我们进一步验证没有java源代码, certificates, systems, 或者其他软件版本在这次事件中受到了损害.
有问题的文件不是来自JAVS或任何与JAVS相关的第三方. 我们强烈建议所有用户验证JAVS是否对他们安装的任何JAVS软件进行了数字签名. 任何由其他当事人签名的文件都应被视为可疑文件. 我们正在重新审视我们的发布流程,以加强文件认证. 我们强烈建议客户随时更新所有软件版本和安全补丁,并使用强大的安全措施, 例如防火墙和恶意软件防护.
JAVS服务技术人员通常安装有问题的Viewer软件. 我们让服务团队的所有成员在任何可能受影响的系统上验证Viewer软件的安装, 具体检查是否存在有问题的恶意文件fffmpeg.Exe有三个f.注意,java文件为ffmpeg.带有两个“f”的Exe是合法文件.
你应该做什么:
手动检查文件 fffmeg.exe:发现或检测到恶意文件, 我们建议对PC进行全面重新映像,并重置该计算机上用户使用的所有凭据. If Viewer 8.3.7.250是当前安装的版本, 但是没有发现恶意文件, 我们建议卸载查看器软件并执行完整的反病毒/恶意软件扫描. 在升级到较新版本的Viewer 8之前,请重置受影响系统上使用的任何密码.
升级JAVS查看器:我们强烈建议所有JAVS查看器软件的用户升级到最新版本(版本8).3.9 or higher). 升级很简单,可以按照软件更新通知中的说明或访问我们的网站来完成 http://www.javs.com/downloads/
我们感谢您的理解和合作,为我们所有用户维护一个安全的环境. 如果您有任何问题或疑虑, 请立即十大赌博正规信誉网址的支持团队,电话:1-877-JAVSHLP (877-528-7457).
Sincerely,
司法署反病毒解决方案保安小组”
