Российская хакерская группировка RomCom использовала две уязвимости нулевого дня в недавних кибератаках, нацеленных на пользователей браузеров Firefox и Tor в Европе и Северной Америке. Эти уязвимости позволяли злоумышленникам получить удаленный доступ к устройствам жертв и выполнять на них вредоносный код без их ведома.
Уязвимости:
- CVE-2024-9680. Проблема в обработке временной шкалы анимации в Firefox. Эта уязвимость позволяла выполнять код внутри песочницы браузера. Она была устранена компанией Mozilla 9 октября 2024 года.
- CVE-2024-49039. Ошибка повышения привилегий в Windows Task Scheduler. Она позволяла выйти за пределы изолированной среды браузеров Firefox и Tor. Microsoft устранила эту уязвимость 12 ноября 2024 года.
Эти уязвимости объединялись в цепочку эксплойтов, благодаря которой вредоносное ПО RomCom загружалось на устройства жертв при посещении специально созданного злоумышленниками сайта.
Механизм атаки:
- Жертва перенаправлялась на сайт с внедренным эксплойтом.
- При успешной эксплуатации браузера выполнялся шелл-код, который устанавливал бэкдор RomCom.
- Вредоносное ПО предоставляло доступ к системе для выполнения команд и развертывания дополнительных угроз.
История группировки RomCom
RomCom, также известная как Storm-0978, Tropical Scorpius или UNC2596, ранее была замечена в использовании уязвимостей нулевого дня для атак, включая взлом участников саммита НАТО в 2023 году. Группировка связана с финансово мотивированными атаками, программами-вымогателями, такими как Industrial Spy, и операциями по краже данных для шпионажа.
