- Výskumníci spoločnosti ESET objavili dve doteraz neznáme zraniteľnosti, jednu v prehliadači Mozilla a druhú v systéme Windows, ktoré zneužíva APT skupina RomCom napojená na Rusko.
- Analýza exploitu viedla k objaveniu prvej zraniteľnosti s označením CVE-2024-9680: chyba typu use-after-free vo funkcii časovej osi animácie vo Firefoxe. ESET nahlásil zraniteľnosť Mozille 8. októbra 2024, pričom do jedného dňa bola na ňu vydaná záplata.
- Táto kritická zraniteľnosť má skóre 9,8 z 10.
- Ďalšia analýza odhalila zero-day zraniteľnosť v systéme Windows: chybu zvýšenia oprávnení, teraz priradenú k CVE 2024 49039, ktorá umožňuje spustenie kódu mimo sandboxu Firefoxu. Spoločnosť Microsoft vydala opravu tejto druhej zraniteľnosti 12. novembra 2024.
- Dve prepojené zero-day zraniteľnosti umožnili skupine RomCom zneužitie, ktoré si nevyžaduje žiadnu inú interakciu používateľa ako obyčajné prehliadanie špeciálne vytvorenej webovej stránky.
- Potenciálne obete, ktoré navštívili webové stránky hostiace exploity, sa nachádzali prevažne v Európe a Severnej Amerike.
Výskumníci spoločnosti ESET objavili doteraz neznámu zraniteľnosť CVE-2024-9680 v produktoch Mozilla, zneužívanú v reálnom prostredí APT skupinou RomCom napojenou na Rusko. Ďalšia analýza odhalila druhú zero-day zraniteľnosť v systéme Windows: chybu zvyšovania oprávnení, ktorej je priradené označenie CVE-2024-49039. Ak si obeť prezerá webovú stránku obsahujúcu exploit, útočník môže spustiť ľubovoľný kód bez nutnosti interakcie používateľa (zero-click útok), čo v tomto prípade viedlo k inštalácii backdooru skupinou RomCom do počítača obete. Backdoor používaný skupinou je schopný vykonávať príkazy a sťahovať ďalšie moduly do počítača obete. Kritická zraniteľnosť súvisiaca s Mozillou, ktorú ESET objavil 8. októbra, má CVSS skóre 9,8 na stupnici od 0 do 10. V roku 2024 skupina RomCom zasiahla Ukrajinu a ďalšie európske krajiny, ako aj Spojené štáty. Podľa telemetrie spoločnosti ESET sa od 10. októbra 2024 do 4. novembra 2024 potenciálne obete, ktoré navštívili webové stránky hostiace exploit, nachádzali prevažne v Európe a Severnej Amerike.
Výskumníci spoločnosti ESET objavili 8. októbra 2024 zraniteľnosť CVE-2024-9680. Ide o chybu typu use-after-free vo funkcii časovej osi animácie vo Firefoxe. Spoločnosť Mozilla zraniteľnosť opravila 9. októbra 2024. Ďalšia analýza odhalila druhú zero-day zraniteľnosť, a to v systéme Windows: chybu zvýšenia oprávnení, ktorej je teraz priradené označenie CVE 2024 49039. Táto zraniteľnosť umožňuje spustenie kódu mimo sandboxu prehliadača Firefox. Spoločnosť Microsoft vydala opravu tejto druhej zraniteľnosti 12. novembra 2024.
Zraniteľnosť CVE-2024-9680 objavená 8. októbra umožňuje zraniteľným verziám prehliadačov Firefox, Thunderbird a Tor Browser vykonávať kód v obmedzenom kontexte prehliadača. V spojení s predtým neznámou zraniteľnosťou v systéme Windows, CVE-2024-49039, ktorá má skóre CVSS 8,8, je možné spustiť ľubovoľný kód v kontexte prihláseného používateľa. Spojenie dvoch zero-day zraniteľností vyzbrojilo RomCom exploitom, ktorý nevyžaduje interakciu používateľa. Táto úroveň sofistikovanosti dokazuje zámer a prostriedky tohto aktéra na získanie alebo vývoj nepozorovaných schopností. Úspešné pokusy o zneužitie navyše doručili backdor RomCom v rámci operácie, ktorá vyzerá ako rozsiahla kampaň.
RomCom (známa aj pod názvami Storm-0978, Tropical Scorpius alebo UNC2596) je skupina napojená na Rusko, ktorá vedie kampane proti vybraným obchodným odvetviam a cielené špionážne operácie. Skupina sa zameriava na špionážne operácie zamerané na zhromažďovanie spravodajských informácií, ktoré prebiehajú paralelne s jej konvenčnejšími operáciami v oblasti počítačovej kriminality. V roku 2024 ESET odhalil kyberšpionážne a kyberzločinecké operácie spoločnosti RomCom proti vládnym subjektom, obrannému a energetickému sektoru na Ukrajine, farmaceutickému a poisťovaciemu sektoru v USA, právnemu sektoru v Nemecku a vládnym subjektom v Európe.
„Reťazec kompromitácie pozostáva z falošnej webovej stránky, ktorá presmeruje potenciálnu obeť na server hostiaci exploit, a v prípade úspechu exploitu sa spustí shellkód, ktorý stiahne a spustí backdoor RomCom. Nevieme síce, ako sa šíri odkaz na falošnú webovú stránku, avšak ak sa na stránku dostane pomocou zraniteľného prehliadača, na počítač obete sa spustí škodlivý kód bez nutnosti interakcie používateľa,“ hovorí výskumník spoločnosti ESET Damien Schaeffer, ktorý objavil obe zraniteľnosti. „Chceli by sme sa poďakovať tímu Mozilly za veľmi dobrú reakciu a vyzdvihnúť ich pôsobivú pracovnú morálku, vďaka ktorej vydali opravu v priebehu jedného dňa,“ dodáva. Každú zraniteľnosť opravili spoločnosti Mozilla, respektíve Microsoft.
Po zneužití zraniteľnosti CVE-2023-36884 prostredníctvom aplikácie Microsoft Word v júni 2023 je to prinajmenšom druhýkrát, čo bola skupina RomCom prichytená pri zneužití významnej zero-day zraniteľnosti v reálnom prostredí. Viac technických informácií si môžete prečítať v anglickom jazyku v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research.