Dans le dernier pisode dune attaque dapprovisionnement, un fabricant de logiciels au service de plus de 10 000 salles daudience dans le monde entier a hberg une mise jour dapplication contenant une porte drobe cache qui maintenait une communication persistante avec un site Web malveillant. Cette attaque soulve des questions sur la scurit des systmes judiciaires et met en vidence les vulnrabilits potentielles dans les chanes dapprovisionnement logicielles.
Le logiciel en question est le JAVS Viewer 8, un composant du JAVS Suite 8. Ce package dapplication est utilis par les tribunaux pour enregistrer, lire et grer laudio et la vido des procdures judiciaires. Le fabricant, Justice AV Solutions bas Louisville, Kentucky, affirme que ses produits sont utiliss dans plus de 10 000 salles daudience aux tats-Unis et dans 11 autres pays. Lentreprise est en activit depuis 35 ans.
Des chercheurs de la socit de scurit Rapid7 ont signal qu’une version de JAVS Viewer 8 disponible en tlchargement sur javs.com contenait une porte drobe qui permettait un cybercriminel d’avoir un accs permanent aux appareils infects. Le tlchargement malveillant, plac dans un fichier excutable qui installe la version 8.3.7 de JAVS Viewer, tait disponible dbut avril, date laquelle un message sur X (anciennement Twitter) l’a signal. On ne sait pas exactement quand la version pirate a t retire de la page de tlchargement de l’entreprise.
🚨Windows version of RustDoor alert!
📷The malware is being hosted on the official website of JAVS. The file is Viewer 8.3.7 Setup Executable – Version 8.3.7, and this file comes with a valid certificate. The Attacker has now developed a Windows version that merges with https://t.co/Vi2sxZveGQ
— 𝓙𝓪𝓬𝓴2 (@2RunJack2) April 2, 2024
La porte drobe
Justice AV Solutions (JAVS) est une socit amricaine spcialise dans les solutions d’enregistrement audiovisuel numrique pour les salles d’audience. Selon le site web du vendeur, les technologies de JAVS sont utilises dans les salles d’audience, les chambres et les salles de jury, les prisons et les tablissements pnitentiaires, ainsi que dans les salles de conseil, d’audition et de confrence. Le site web de l’entreprise cite plus de 10 000 installations de ses technologies dans le monde entier.
JAVS Suite 8 est un portefeuille de logiciels d’enregistrement, de visualisation et de gestion audio/vido destins aux organisations gouvernementales et aux entreprises. Le logiciel JAVS Viewer affect est conu pour ouvrir les mdias et les fichiers journaux crs par d’autres logiciels de la suite JAVS. Il peut tre tlcharg sur le site web du fournisseur et est livr sous la forme d’un programme d’installation Windows qui demande des privilges levs lors de l’excution.
Rapid7 a dtermin que les utilisateurs ayant install JAVS Viewer v8.3.7 courent un risque lev et doivent prendre des mesures immdiates. Cette version contient un programme d’installation rtroactif qui permet aux pirates de prendre le contrle total des systmes concerns. Il est essentiel de rimager compltement les terminaux concerns et de rinitialiser les informations d’identification associes afin de s’assurer que les attaquants n’ont pas persist par le biais de portes drobes ou d’informations d’identification voles. Les utilisateurs doivent installer la dernire version de JAVS Viewer (8.3.8 ou suprieure) aprs avoir rimag les systmes concerns. Ces rsultats ont t identifis lors d’une enqute mene par les analystes de Rapid7.
Le vendredi 10 mai 2024, Rapid7 a ouvert une enqute sur un incident impliquant l’excution d’un binaire nomm fffmpeg.exe partir du chemin de fichier C:\NProgram Files (x86)\NJAVS\NViewer 8. L’enqute a permis de remonter jusqu’au tlchargement d’un binaire nomm JAVS Viewer Setup 8.3.7.250-1.exe qui a t tlcharg partir du site officiel de JAVS le 5 mars. L’analyse du programme d’installation JAVS Viewer Setup 8.3.7.250-1.exe a montr qu’il portait une signature Authenticode inattendue et contenait le binaire fffmpeg.exe. Au cours de l’enqute, Rapid7 a observ que des scripts PowerShell cods taient excuts par le binaire fffmpeg.exe.
Sur la base de renseignements provenant de sources ouvertes, Rapid7 a dtermin que le binaire fffmpeg.exe est associ la famille de logiciels malveillants GateDoor/Rustdoor dcouverte par les chercheurs de la socit de scurit S2W. Le fichier exe a dj t signal par 45 moteurs de protection des points finaux.
Fonctionnement de la porte drobe
Le fichier dinstallation tait intitul JAVS Viewer Setup 8.3.7.250-1.exe. Lorsquil tait excut, il copiait le fichier binaire ffmpeg.exe dans le chemin daccs C:\Program Files (x86)\JAVS\Viewer 8\. Pour contourner les avertissements de scurit, linstallateur tait sign numriquement, mais avec une signature attribue une entit appele Vanguard Tech Limited plutt qu Justice AV Solutions Inc., lentit de signature utilise pour authentifier les logiciels JAVS lgitimes. ffmpeg.exe utilisait ensuite Windows Sockets et WinHTTP pour tablir une communication avec un serveur de commande et de contrle.
Une fois connect avec succs, ffmpeg.exe envoyait au serveur les mots de passe collects partir des navigateurs et des informations sur lhte compromis, notamment le nom dhte, les dtails du systme dexploitation, larchitecture du processeur, le rpertoire de travail du programme et le nom dutilisateur. De plus, ffmpeg.exe tlchargeait le fichier chrome_installer.exe depuis ladresse IP 45.120.177.178. Ce fichier excutable volait les mots de passe enregistrs dans les navigateurs.
Rsultats du certificat Vanguard de VirusTotal
Le spcialiste en cyberscurit a donn la chronologie suivante :
- 10 fvrier 2024 : un certificat est mis pour le sujet Vanguard Tech Limited, dont le certificat indique qu’il est bas Londres.
- 21 fvrier 2024 : le premier des deux paquets malveillants JAVS Viewer est sign avec le certificat Vanguard.
- 2 avril 2024 : l’utilisateur de Twitter @2RunJack2 signale que des logiciels malveillants sont diffuss par la page officielle de tlchargement de JAVS. Il n’est pas prcis si le fournisseur a t inform.
- 12 mars 2024 : le deuxime des deux paquets malveillants JAVS Viewer est sign avec le certificat Vanguard.
- 10 mai 2024 : Rapid7 enqute sur une nouvelle alerte dans l’environnement d’un client de Managed Detection and Response. La source de l’infection est remonte jusqu’ un installateur tlcharg depuis le site officiel de JAVS. Le fichier malveillant tlcharg par la victime, le premier paquet Viewer, n’est pas accessible sur la page de tlchargement du fournisseur. On ne sait pas qui a retir le paquet malveillant de la page de tlchargement (c’est–dire le vendeur ou l’acteur de la menace).
- 12 mai 2024 : Rapid7 dcouvre trois charges utiles malveillantes supplmentaires hberges sur l’infrastructure C2 de l’acteur de la menace sur le port 8000 : chrome_installer.exe, firefox_updater.exe, et OneDriveStandaloneUpdater.exe.
- 13 mai 2024 : Rapid7 identifie un fichier d’installation non li contenant des logiciels malveillants, le deuxime paquet Viewer, toujours servi par le site officiel du fournisseur. Cela confirme que le site du fournisseur tait la source de l’infection initiale.
- 17 mai 2024 : Rapid7 dcouvre que l’acteur de la menace a retir le binaire OneDriveStandaloneUpdater.exe de l’infrastructure C2 et l’a remplac par un nouveau binaire, ChromeDiscovery.exe. Cela indique que l’acteur de la menace met activement jour son infrastructure C2.
Moyens de mitigation
Les chercheurs ont averti que le processus de dsinfection des dispositifs infects ncessitera des prcautions :
Pour remdier ce problme, les utilisateurs concerns doivent :
- Rimager tous les terminaux sur lesquels JAVS Viewer 8.3.7 a t install. La simple dsinstallation du logiciel est insuffisante, car les attaquants peuvent avoir implant des portes drobes ou des logiciels malveillants supplmentaires. La rimagerie permet de faire table rase du pass.
- Rinitialisez les informations d’identification de tous les comptes qui taient connects aux terminaux concerns. Cela inclut les comptes locaux sur le terminal lui-mme ainsi que tous les comptes distants accds pendant la priode d’installation de JAVS Viewer 8.3.7. Les attaquants peuvent avoir vol des informations d’identification partir de systmes compromis.
- Rinitialiser les informations d’identification utilises dans les navigateurs web sur les terminaux concerns. Les sessions de navigation peuvent avoir t dtournes pour voler des cookies, des mots de passe stocks ou d’autres informations sensibles.
- Installer la dernire version de JAVS Viewer (8.3.8 ou suprieure) aprs avoir rimag les systmes concerns. La nouvelle version ne contient pas la porte drobe prsente dans la version 8.3.7.
Il est essentiel de rimager compltement les terminaux concerns et de rinitialiser les informations d’identification associes pour s’assurer que les attaquants n’ont pas persist par le biais de portes drobes ou d’informations d’identification voles. Toutes les organisations utilisant JAVS Viewer 8.3.7 doivent prendre ces mesures immdiatement pour remdier la compromission.
Conclusion
Cet incident est le dernier exemple en date d’une attaque de la chane d’approvisionnement, une technique qui altre un service ou un logiciel lgitime dans le but d’infecter tous les utilisateurs en aval. Ce type d’attaque est gnralement men en piratant d’abord le fournisseur du service ou du logiciel. Il n’existe pas de moyen sr d’viter d’tre victime d’une attaque de la chane d’approvisionnement, mais une mesure potentiellement utile consiste vrifier un fichier l’aide de VirusTotal avant de l’excuter. Ce conseil aurait t utile aux utilisateurs de JAVS.
Cette attaque souligne limportance de la scurit des chanes dapprovisionnement logicielles et met en garde contre les risques potentiels pour les systmes judiciaires. Les tribunaux et les entreprises doivent rester vigilants et prendre des mesures pour protger leurs logiciels contre de telles menaces.
Sources : chercheurs en scurit, Virus Total
Et vous ?
Quelles mesures de scurit supplmentaires les entreprises devraient-elles prendre pour protger leurs chanes dapprovisionnement logicielles ?
Comment les tribunaux peuvent-ils garantir lintgrit et la scurit des logiciels utiliss dans leurs procdures judiciaires ?
Pensez-vous que les attaques dapprovisionnement sont sous-estimes et quelles pourraient avoir un impact plus large sur la socit ?
Quelles sont les consquences potentielles pour les utilisateurs des logiciels compromis, en particulier dans le contexte des tribunaux et de la justice ?
Existe-t-il des alternatives aux logiciels propritaires utiliss dans les tribunaux qui pourraient rduire les risques dattaques dapprovisionnement ?