聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
第一个漏洞CVE-2024-9680是位于火狐动画时间线特性中的释放后使用 (UAF) 漏洞,可导致在该web浏览器的沙箱中执行代码。Mozilla 在2024年10月9日即收到 ESET 公司报送的一天后修复了该漏洞。
第二个遭利用的是位于 Windows Task Scheduler 服务中的提权漏洞CVE-2024-49039,可导致攻击者在火狐沙箱外执行代码。微软在本月初即11月12日修复了该漏洞。
RomCom 组合利用这两个当时是0day状态的漏洞,在无需用户交互的情况下获得远程代码执行权限。他们的目标只需访问受攻击者控制和恶意构造的网站即可,之后该网站就会下载并执行系统上的 RomCom 后门。
从攻击中所用的其中一个 JavaScript exp (main-tor.js) 来看,该团伙还攻击了 Tor 浏览器用户(版本12和13)。
ESET公司的研究员 Damien Schaeffer 提到,“该攻陷链由一个虚假的网站构成,该网站将潜在受害者重定向至托管该exp的服务器,当exp成功时就会执行shellcode,从而下载并执行 RomCom 后门。虽然我们不了解该虚假网站的链接是如何分发的,但如果通过一个易受攻击的浏览器访问该网页,则无需用户交互即可释放 payload 并在受害者计算机上执行。”一旦在受害者设备上部署该恶意软件,则攻击者可运行命令并部署其它payload。
ESET公司提到,“组合利用两个0day漏洞,导致 RomCom 能够利用无需用户交互的 exp。这种复杂度表明该犯罪团伙将且目的是获取或开发隐秘能力。”此外,通过受害者设备上部署 RomCom 后门的成功尝试次数,ESET公司认为这是一次大规模的攻击活动。该公司提到,“从ESET的遥测数据来看,潜在目标的数量从每个国家一个受害者到250个受害者不等。”
这并非RomCom 首次利用0day漏洞发动攻击。2023年7月,其操纵者利用Windows 和 Office 多款产品中的一个0day漏洞 (CVE-2023-36884) 攻击在立陶宛首都维尔纽斯市举办的北约峰会的组织机构。
RomCom(也被称为 “Storm-0978”、”Tropical Scorpius” 或 “UNC2956”)一直以来以经济利益为目标,并组合利用勒索敲诈和凭据盗取攻击(可能为了支持情报活动)。该威胁团伙还被指发动“工业间谍”勒索攻击,而之后该攻击转为Underground 勒索攻击。
ESET公司提到,RomCom团伙正在攻击位于乌克兰、欧洲和北美地区的组织机构,对多种行业如政府、国防、能源、医药和保险行业发动间谍攻击。
https://www.bleepingcomputer.com/news/security/firefox-and-windows-zero-days-exploited-by-russian-romcom-hackers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~