Last Updated on 2024-06-26 12:46 by 門倉 朋宏
悪意のあるアクターが、裁判所のビデオ録画ソフトウェアを開発するJustice AV Solutions (JAVS)に関連するインストーラーをバックドア化し、RustDoorと呼ばれる既知のバックドアマルウェアを配布するサプライチェーン攻撃を実施した。この攻撃はCVE-2024-4978として追跡され、JAVS Viewer v8.3.7に影響を与える。このソフトウェアは、裁判所の手続き、ビジネスミーティング、市議会セッションのデジタル録音を作成、管理、公開、閲覧することを可能にするJAVS Suite 8のコンポーネントである。
サイバーセキュリティ会社Rapid7は、2024年3月5日に公式JAVSサイトからダウンロードされた「JAVS Viewer Setup 8.3.7.250-1.exe」というバイナリに由来すると特定された「fffmpeg.exe」という悪意のある実行可能ファイルをソフトウェアのWindowsインストールフォルダ内で発見した後、調査を開始した。このインストーラーは、予期せぬAuthenticode署名で署名されており、fffmpeg.exeバイナリを含んでいた。実行されると、fffmpeg.exeはWindowsソケットとWinHTTPリクエストを使用してコマンドアンドコントロール(C&C)サーバーに接続し、追加のペイロードをダウンロードするコマンドを実行する。
RustDoorは、Bitdefenderによって最初に文書化されたRustベースのバックドアマルウェアで、Microsoft Visual Studioのアップデートを装ったり、仕事の提供を餌にした攻撃でApple macOSデバイスを標的にしている。その後の分析で、S2WによってGolangでプログラムされたWindowsバージョンのGateDoorが発見された。RustDoorとGateDoorは、C&Cサーバーとの通信時に使用されるエンドポイントが重複しており、類似の機能を持っていることが確認されている。
JAVSは、JAVS Viewerバージョン8.3.7に「潜在的なセキュリティ問題」があると特定し、影響を受けるバージョンをウェブサイトから削除し、すべてのパスワードをリセットし、システムの完全な監査を実施したと述べた。JAVSのソースコード、証明書、システム、または他のソフトウェアリリースはこのインシデントで侵害されなかった。
【ニュース解説】
裁判所のビデオ録画ソフトウェアを開発するJustice AV Solutions (JAVS)に関連するインストーラーが、悪意のあるアクターによってバックドア化され、RustDoorと呼ばれるバックドアマルウェアを配布するサプライチェーン攻撃が発生しました。この攻撃は、裁判所の手続きやビジネスミーティング、市議会セッションのデジタル録音を作成、管理、公開、閲覧する機能を提供するJAVS Viewer v8.3.7に影響を及ぼし、CVE-2024-4978として追跡されています。
サイバーセキュリティ会社Rapid7は、公式JAVSサイトからダウンロードされた「JAVS Viewer Setup 8.3.7.250-1.exe」というインストーラー内に悪意のある実行可能ファイル「fffmpeg.exe」が含まれていることを発見しました。このインストーラーは、通常とは異なるAuthenticode署名で署名されており、実行されると、fffmpeg.exeはコマンドアンドコントロール(C&C)サーバーに接続し、追加のペイロードをダウンロードするコマンドを実行します。
RustDoorは、Rustベースのバックドアマルウェアで、以前にはApple macOSデバイスを標的にした攻撃で使用されていました。また、GolangでプログラムされたWindowsバージョンのGateDoorも発見されており、両者はC&Cサーバーとの通信や機能において類似点があります。
このインシデントを受けて、JAVSは影響を受けるバージョンのソフトウェアをウェブサイトから削除し、全てのパスワードをリセットし、システムの完全な監査を実施しました。JAVSは、このインシデントでソースコードや証明書、システム、その他のソフトウェアリリースが侵害されたわけではないと述べています。
この攻撃は、サプライチェーンを通じたマルウェア配布の脅威を浮き彫りにしています。サプライチェーン攻撃は、信頼されたソフトウェアやコンポーネントが悪意のあるアクターによって改ざんされ、最終的なユーザーに悪意のあるコードが配布される攻撃です。このような攻撃は、エンドユーザーがソフトウェアの正当性を確認することが難しく、広範囲にわたる影響を及ぼす可能性があります。
この事件から学ぶべき重要な教訓は、ソフトウェアをダウンロードする際には、提供元が正式に署名しているかどうかを確認すること、そして不審な挙動を示すソフトウェアには注意を払うことです。また、サイバーセキュリティの専門家は、サプライチェーン攻撃に対する防御策を強化し、ソフトウェアの配布プロセスを定期的に監査することが重要です。
from Courtroom Software Backdoored to Deliver RustDoor Malware in Supply Chain Attack.
