JAVS Gravação de Tribunal Software Com Backdoor – Implanta Malware RustDoor

Agentes maliciosos embutiram o instalador associado ao software de gravação de vídeo em tribunais desenvolvido pela Justice AV Solutions (JAVS) para entregar malware associado a um implante conhecido como RustDoor.

O ataque à cadeia de suprimentos de software, rastreado como CVE-2024-4978 (pontuação CVSS: 8.7), afeta o JAVS Viewer v8.3.7, um componente do JAVS Suite 8 que permite aos usuários criar, gerenciar, publicar e visualizar gravações digitais de procedimentos judiciais, reuniões de negócios e sessões do conselho municipal.

A empresa de cibersegurança Rapid7 informou que iniciou uma investigação no início deste mês após descobrir um executável malicioso chamado “fffmpeg.exe” na pasta de instalação do software, rastreando-o até um arquivo binário chamado “JAVS Viewer Setup 8.3.7.250-1.exe” que foi baixado do site oficial da JAVS em 5 de março de 2024.

Ao ser executado, o fffmpeg.exe estabelece contato com um servidor de comando e controle (C&C) usando sockets do Windows e solicitações WinHTTP para enviar informações sobre o host comprometido e aguardar novas instruções do servidor.

O RustDoor, um malware backdoor baseado em Rust, foi primeiro documentado pela Bitdefender em fevereiro deste ano, visando dispositivos Apple macOS se passando por uma atualização para o Microsoft Visual Studio como parte de ataques direcionados usando iscas de oferta de emprego.

Análises subsequentes da empresa sul-coreana de cibersegurança S2W descobriram uma versão do Windows chamada GateDoor, programada em Golang.

Há evidências de infraestrutura que conectam a família de malware a um afiliado de ransomware como serviço (RaaS) chamado ShadowSyndicate. No entanto, também levantou a possibilidade de que eles possam estar atuando como colaboradores especializados em fornecer infraestrutura para outros atores.

A utilização de um instalador trojanizado do JAVS Viewer para distribuir uma versão do RustDoor para Windows foi anteriormente sinalizada pela S2W em 2 de abril de 2024, em uma postagem compartilhada no X (anteriormente Twitter). Atualmente, não está claro como o site do fornecedor foi invadido e um instalador malicioso se tornou disponível para download.

A JAVS, em comunicado fornecido ao fornecedor de cibersegurança, disse que identificou um “possível problema de segurança” com a versão 8.3.7 do JAVS Viewer e que retirou a versão afetada do site, redefiniu todas as senhas e realizou uma auditoria completa de seus sistemas.

Os usuários são aconselhados a verificar os indicadores de comprometimento (IoCs) e, se infectados, reimagem completamente todos os endpoints afetados, redefinir credenciais e atualizar para a versão mais recente do JAVS Viewer.