Группа хакеров RomCom использовала сразу две уязвимости нулевого дня для атак на пользователей браузеров Firefox и Tor в Европе и Северной Америке.
Первая уязвимость, CVE-2024-9680, была ошибкой в анимации Firefox, которая позволяла выполнить код в изоляции браузера. Разработчики Mozilla исправили эту проблему 9 октября 2024 года.
Вторая уязвимость, CVE-2024-49039, касалась планировщика задач Windows и позволяла повысить привилегии до уровня, позволяющего запускать код вне песочницы Firefox. Microsoft устранила эту уязвимость в ноябре.
RomCom объединила эти уязвимости и использовала их для выполнения кода без согласия пользователей. Для этого достаточно было посетить сайт, зараженный вредоносным ПО RomCom.
Специалист ESET Дэмиен Шеффер сказал, что злоумышленники использовали мошеннический сайт для перенаправления жертв на сервер с эксплойтом. Если эксплойт срабатывал, он загружал и запускал бэкдор RomCom на компьютере жертвы. Неизвестно, как распространяются ссылки на такие сайты, но уязвимый браузер может быть заражен без ведома пользователя.
Исследователи ESET также отметили, что хакеры использовали уязвимость CVE-2024-9680 в браузере Tor (версии 12 и 13). В блоге Tor Project была информация о том, что эта уязвимость использовалась, но позже было сказано, что нет доказательств атак на пользователей Tor.
После заражения устройства малварь RomCom позволяет злоумышленникам выполнять команды и устанавливать дополнительные вредоносные программы.
По данным ESET, количество успешных атак, которые привели к установке бэкдора RomCom, указывает на масштабную кампанию. Количество пострадавших варьируется от одной жертвы на страну до 250.
RomCom не впервые использует уязвимости нулевого дня. В июле 2023 года они эксплуатировали уязвимость CVE-2023-36884 в Windows и Office для атак на саммит НАТО в Вильнюсе.
Сейчас RomCom в основном нацелена на украинские, европейские и североамериканские организации, занимаясь шпионскими атаками в различных секторах, включая правительство, оборону, энергетику, фармацевтику и страхование.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
+7 978 214 29 87 — Севастополь