RustDoor yükleyicisinin Windows sürümü, ülke çapındaki mahkeme salonlarında, hapishanelerde, cezaevlerinde, konseyde, duruşmalarda ve konferans salonlarında kullanılan görsel-işitsel kayıt platformu tarafından barındırılan ve dağıtılan, güvenliği ihlal edilmiş bir görsel-işitsel yazılım paketi aracılığıyla yayılıyor.
Rapid7’deki araştırmacılara göre tehdit aktörleri, Justice AV platformunun ürettiği medya ve kayıt dosyalarına erişmek için kullanılan Justice AV Viewer v8.3.7’yi bozdu. tedarik zinciri siber saldırı kampanyası.
Rapora göre RustDoor yükleyicisi konuşlandırıldıktan sonra saldırganların virüslü sistemleri tamamen ele geçirmesine olanak tanıyor. Araştırmacılar, Viewer’ın “… satıcının web sitesi aracılığıyla indirilebildiğini ve yürütüldüğünde yüksek ayrıcalıklar isteyen Windows tabanlı bir yükleyici paketi olarak gönderildiğini” açıkladı.
Justice AV Solutions, RustDoor’un Tedarik Zinciri Saldırı Geçmişi
RustDoor ilk olarak Aralık 2023’te macOS makinelerini hedef alarak keşfedildi. Keşfin arkasındaki araştırmacılara göre, GateDoor olarak da adlandırılan ve Rust yerine Golang dilinde yazılan Windows sürümü kısa bir süre sonra bulundu. Kökenine kadar uzanan, RustDoor ve GateDoor meşru yazılım olarak gizlenen tedarik zinciri siber saldırılarında kullanıldı. Geçmişteki RustDoor kampanyaları şunlara bağlandı: ALPHV/BlackCat fidye yazılımı grup.
JAVS Viewer paketlerinin ilk kötü amaçlı sürümleri 21 Şubat’ta ortaya çıktı ve Rapid7, bunu ilk olarak 10 Mayıs’ta araştırmaya başladı.
JAVS, o zamandan beri bozuk Viewer dosyalarını kaldırdı ve Rapid7’ye “bu olayda hiçbir kaynak kodu, sertifika, sistem veya diğer yazılım sürümünün tehlikeye atılmadığını” söyledi.
Rapid7’nin önerdiği şekilde Justice AV Solutions yazılımının müşterileri yalnızca yazılımı silip değiştirmekle kalmamalı, aynı zamanda etkilenen uç noktaları tamamen yeniden görüntülemeli ve kimlik bilgilerini sıfırlamalıdır. Araştırmacılar, JAVS Viewer v8.3.7 kullanıcılarının “yüksek risk altında olduğu ve derhal harekete geçmeleri gerektiği” konusunda uyardı.
RustDoor kötü amaçlı yazılımı artık JAVS platformu aracılığıyla yayılmasa da Rapid7, tedarik zinciri saldırısının arkasındaki saldırganların komuta ve kontrol (C2) altyapılarını sürekli olarak güncellediğini ve geliştirdiğini belirtti.
