BRATISLAVA - Výskumníci ESETu objavili dve kritické zraniteľnosti v produktoch Mozilla a v systéme Windows, ktoré APT skupina RomCom napojená na Rusko využíva na sofistikované útoky. Zraniteľnosti umožňujú spustenie škodlivého kódu bez interakcie používateľa, čo vedie k inštalácii backdooru.
archívne video
Ak si obeť prezerá webovú stránku obsahujúcu exploit (typ škodlivého kódu, ktorý využíva nejaké chyby alebo zraniteľnosti v systéme na to, aby spôsobil neočakávané alebo nechcené správanie počítača, pozn. red.), útočník môže spustiť ľubovoľný kód bez nutnosti interakcie používateľa (zero-click útok), čo v tomto prípade viedlo k inštalácii backdooru skupinou RomCom do počítača obete.
Backdoor (aplikácia umožňujúca vzdialený prístup k počítaču) používaný skupinou je schopný vykonávať príkazy a sťahovať ďalšie moduly do počítača obete. "Kritická zraniteľnosť súvisiaca s Mozillou, ktorú ESET objavil 8. októbra, má CVSS skóre 9,8 na stupnici od 0 do 10. V roku 2024 skupina RomCom zasiahla Ukrajinu a ďalšie európske krajiny, ako aj Spojené štáty. Podľa telemetrie spoločnosti ESET sa od 10. októbra 2024 do 4. novembra 2024 potenciálne obete, ktoré navštívili webové stránky hostiace exploit, nachádzali prevažne v Európe a Severnej Amerike," priblížil v utorok Peter Blažečka zo spoločnosti.
Zraniteľnosti v Mozille aj Windowse
Výskumníci spoločnosti ESET objavili 8. októbra 2024 doteraz neznámu zraniteľnosť CVE-2024-9680. Ide o chybu typu use-after-free vo funkcii časovej osi animácie vo Firefoxe. Spoločnosť Mozilla zraniteľnosť opravila 9. októbra 2024. Ďalšia analýza odhalila druhú zero-day zraniteľnosť, a to v systéme Windows: chybu zvýšenia oprávnení, ktorej je teraz priradené označenie CVE 2024 49039. Táto zraniteľnosť umožňuje spustenie kódu mimo sandboxu prehliadača Firefox. Spoločnosť Microsoft vydala opravu tejto druhej zraniteľnosti 12. novembra 2024.
Ako približuje Eset, zraniteľnosť CVE-2024-9680 objavená 8. októbra umožňuje zraniteľným verziám prehliadačov Firefox, Thunderbird a Tor Browser vykonávať kód v obmedzenom kontexte prehliadača. "V spojení s predtým neznámou zraniteľnosťou v systéme Windows, CVE-2024-49039, ktorá má skóre CVSS 8,8, je možné spustiť ľubovoľný kód v kontexte prihláseného používateľa. Spojenie dvoch zero-day zraniteľností vyzbrojilo RomCom exploitom, ktorý nevyžaduje interakciu používateľa. Táto úroveň sofistikovanosti dokazuje zámer a prostriedky tohto aktéra na získanie alebo vývoj nepozorovaných schopností," uvádza Blažečka. Úspešné pokusy o zneužitie navyše doručili backdor RomCom v rámci operácie, ktorá vyzerá ako rozsiahla kampaň.
Kto je skupina RomCom?
RomCom (známa aj pod názvami Storm-0978, Tropical Scorpius alebo UNC2596) je skupina napojená na Rusko, ktorá vedie kampane proti vybraným obchodným odvetviam a cielené špionážne operácie. Skupina sa zameriava na špionážne operácie zamerané na zhromažďovanie spravodajských informácií, ktoré prebiehajú paralelne s jej konvenčnejšími operáciami v oblasti počítačovej kriminality. V roku 2024 ESET odhalil kyberšpionážne a kyberzločinecké operácie spoločnosti RomCom proti vládnym subjektom, obrannému a energetickému sektoru na Ukrajine, farmaceutickému a poisťovaciemu sektoru v USA, právnemu sektoru v Nemecku a vládnym subjektom v Európe.
„Reťazec kompromitácie pozostáva z falošnej webovej stránky, ktorá presmeruje potenciálnu obeť na server hostiaci exploit, a v prípade úspechu exploitu sa spustí shellkód, ktorý stiahne a spustí backdoor RomCom. Nevieme síce, ako sa šíri odkaz na falošnú webovú stránku, avšak ak sa na stránku dostane pomocou zraniteľného prehliadača, na počítač obete sa spustí škodlivý kód bez nutnosti interakcie používateľa,“ hovorí výskumník spoločnosti ESET Damien Schaeffer, ktorý objavil obe zraniteľnosti. „Chceli by sme sa poďakovať tímu Mozilly za veľmi dobrú reakciu a vyzdvihnúť ich pôsobivú pracovnú morálku, vďaka ktorej vydali opravu v priebehu jedného dňa,“ dodáva. Každú zraniteľnosť opravili spoločnosti Mozilla, respektíve Microsoft.
Po zneužití zraniteľnosti CVE-2023-36884 prostredníctvom aplikácie Microsoft Word v júni 2023 je to podľa Esetu prinajmenšom druhýkrát, čo bola skupina RomCom prichytená pri zneužití významnej zero-day zraniteľnosti v reálnom prostredí.
