俄黑客组织 RomCom 被指利用火狐和Windows 0day攻击用户
2024-11-27 17:35:0 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

俄罗斯网络犯罪团伙 RomCom 最近组合利用两个0day漏洞,攻击位于欧洲和北美的火狐和Tor浏览器用户。

第一个漏洞CVE-2024-9680是位于火狐动画时间线特性中的释放后使用 (UAF) 漏洞,可导致在该web浏览器的沙箱中执行代码。Mozilla 在2024年10月9日即收到 ESET 公司报送的一天后修复了该漏洞。

第二个遭利用的是位于 Windows Task Scheduler 服务中的提权漏洞CVE-2024-49039,可导致攻击者在火狐沙箱外执行代码。微软在本月初即11月12日修复了该漏洞。

RomCom 组合利用这两个当时是0day状态的漏洞,在无需用户交互的情况下获得远程代码执行权限。他们的目标只需访问受攻击者控制和恶意构造的网站即可,之后该网站就会下载并执行系统上的 RomCom 后门。

从攻击中所用的其中一个 JavaScript exp (main-tor.js) 来看,该团伙还攻击了 Tor 浏览器用户(版本12和13)。

ESET公司的研究员 Damien Schaeffer 提到,“该攻陷链由一个虚假的网站构成,该网站将潜在受害者重定向至托管该exp的服务器,当exp成功时就会执行shellcode,从而下载并执行 RomCom 后门。虽然我们不了解该虚假网站的链接是如何分发的,但如果通过一个易受攻击的浏览器访问该网页,则无需用户交互即可释放 payload 并在受害者计算机上执行。”一旦在受害者设备上部署该恶意软件,则攻击者可运行命令并部署其它payload。

ESET公司提到,“组合利用两个0day漏洞,导致 RomCom 能够利用无需用户交互的 exp。这种复杂度表明该犯罪团伙将且目的是获取或开发隐秘能力。”此外,通过受害者设备上部署 RomCom 后门的成功尝试次数,ESET公司认为这是一次大规模的攻击活动。该公司提到,“从ESET的遥测数据来看,潜在目标的数量从每个国家一个受害者到250个受害者不等。”

这并非RomCom 首次利用0day漏洞发动攻击。2023年7月,其操纵者利用Windows 和 Office 多款产品中的一个0day漏洞 (CVE-2023-36884) 攻击在立陶宛首都维尔纽斯市举办的北约峰会的组织机构。

RomCom(也被称为 “Storm-0978”、”Tropical Scorpius” 或 “UNC2956”)一直以来以经济利益为目标,并组合利用勒索敲诈和凭据盗取攻击(可能为了支持情报活动)。该威胁团伙还被指发动“工业间谍”勒索攻击,而之后该攻击转为Underground 勒索攻击。

ESET公司提到,RomCom团伙正在攻击位于乌克兰、欧洲和北美地区的组织机构,对多种行业如政府、国防、能源、医药和保险行业发动间谍攻击。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com


推荐阅读

火狐修复神秘的严重漏洞,同时影响Chrome 浏览器

这个 bug 可劫持同一 WiFi 网络上所有的安卓版火狐移动浏览器

Mozilla 加大火狐浏览器漏洞奖励力度

两年了火狐仍未修复某 0day,不料又一个新0day出现仨月了

原文链接

https://www.bleepingcomputer.com/news/security/firefox-and-windows-zero-days-exploited-by-russian-romcom-hackers/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521617&idx=1&sn=cc6372f588d0fbc52027797f7d23ae53&chksm=ea94a43bdde32d2d7788140cbef334c7440a1777d309ce9d91bac48e50624f4f067938c35f6f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh