Atacurile asupra lanțului de aprovizionare sunt de obicei concepute pentru a viza o companie specifică prin infectarea unui element implicat în fabricarea sau distribuirea unui produs software. Odată ce lanțul de aprovizionare este compromis, toți utilizatorii și clienții companiei afectate pot fi ușor vizați.
Justice AV Solutions (JAVS) furnizează produse software pentru mai mult de 10.000 de săli de judecată din SUA și din întreaga lume. Compania, cu o vechime de 35 de ani, a fost recent afectată de un atac periculos asupra lanțului de aprovizionare, în care infractorii cibernetici necunoscuți au reușit să implanteze un backdoor în cadrul unui program aparent legitim și oficial.
Conform Rapid7, atacul asupra lanțului de aprovizionare a compromis programul JAVS Viewer 8.3.7, inclus în produsul JAVS Suite 8. JAVS Suite este un software „centrat pe bază de date”, proiectat pentru a crea, gestiona și vizualiza înregistrări digitale ale „întâlnirilor critice” în săli de judecată și medii de afaceri. JAVS îl descrie ca o suită „completă de gestionare AV” care rulează pe sisteme de operare Windows 10 sau mai recente.
Ca parte a suitei principale JAVS, JAVS Viewer permite angajaților să deschidă și să gestioneze înregistrările și fișierele media anterioare. Versiunea 8.3.7 a JAVS Viewer a fost găsită infectată cu un backdoor și părea să fie găzduită pe propriile servere ale JAVS, a confirmat Rapid7. Aceasta înseamnă că toți clienții care folosesc acea versiune specifică a software-ului ar trebui să ia măsuri serioase de mitigare pentru a evita surprize neplăcute în viitor.
Backdoor-ul a fost semnat digital pentru a evita declanșarea avertismentelor de securitate inițiale, deși entitatea care a semnat a fost „Vanguard Tech Limited” și nu „Justice AV Solutions Inc.” așa cum ar fi trebuit. Odată instalat, JAVS Viewer compromis era proiectat să se conecteze la servere de comandă și control remote și să aștepte alte ordine. Malware-ul ar fi furat date sensibile, inclusiv numele gazdei și detalii despre sistemul de operare, parolele browserului și altele.
Executabilul malițios (fffmpeg.exe) face parte din familia de malware GateDoor/Rustdoor și a fost deja semnalat de mulți furnizori de securitate și soluții antivirus. JAVS a recunoscut oficial atacul asupra lanțului de aprovizionare pe site-ul său, afirmând că incidentul (urmărit ca CVE-2024-4978) a fost acum rezolvat cu o nouă versiune a programului JAVS Viewer.
Conform analiștilor Rapid7, incidentul cu backdoor-ul JAVS ar putea avea consecințe de durată, inclusiv sisteme compromise, parole furate și acces remote neautorizat.
Toți utilizatorii JAVS Viewer 8.3.7 ar trebui să re-imageze complet orice sistem endpoint unde programul este utilizat, deoarece simpla dezinstalare sau actualizare a software-ului nu este suficientă pentru a eradica amenințarea. Creditele de acces și parolele pentru conturile de sistem și browserele web ar trebui, de asemenea, resetate.