Русских хакеров обвинили в атаках на западные компании через Firefox и Windows
источник: dall-e
Специалисты по информационной безопасности ESET сообщили о выявлении киберпреступной операции, якобы проводимой русскоязычными хакерами группировки RomCom. В ходе недавно выявленных атак по всей Европе и Северной Америке злоумышленники активно использовали две уязвимости нулевого дня в браузерах Firefox и Tor.
Первая уязвимость (CVE-2024-9680) — ошибка использования после освобождения памяти в функции временной шкалы анимации Firefox. Она позволяет выполнять код в песочнице веб-браузера. Mozilla исправила эту уязвимость 9 октября 2024 года, на следующий день после того, как ESET сообщила о ней.
Вторая уязвимость нулевого дня, эксплуатируемая хакерами, — уязвимость повышения привилегий (CVE-2024-49039) в службе планировщика задач Windows. Она даёт злоумышленникам возможность выполнять код за пределами песочницы Firefox. Microsoft устранила эту проблему безопасности ранее в ноябре, 12 числа.
По словам экспертов ESET, хакеры из RomCom использовали две уязвимости в качестве цепочки эксплойтов нулевого дня, что позволило им добиться удалённого выполнения кода без необходимости взаимодействия с пользователем. Целям атак требовалось лишь посетить контролируемый злоумышленниками вредоносный веб-сайт, который загружал и запускал бэкдор RomCom на их устройствах.
«Цепочка взлома состоит из поддельного веб-сайта, который перенаправляет потенциальную жертву на сервер с размещённым эксплойтом. В случае успеха выполняется шелл-код, загружающий и запускающий бэкдор RomCom. Хотя мы не знаем, как распространяется ссылка на поддельный сайт, открытие страницы через уязвимый браузер приводит к загрузке и выполнению вредоносной программы на компьютере жертвы без какого-либо взаимодействия с её стороны», — рассказал специалист компании ESET Дэмиен Шеффер.
После внедрения на устройство жертвы эта вредоносная программа позволяла злоумышленникам выполнять команды и развертывать дополнительные вредоносные элементы.
Объединив две уязвимости нулевого дня, RomCom создал эксплойт, не требующий взаимодействия с пользователем. Такой уровень сложности, как отметили в ESET, демонстрирует ресурсы и волю злоумышленников к созданию или приобретению скрытных возможностей.
Количество успешных попыток эксплуатации уязвимостей, завершившихся установкой бэкдора RomCom на устройствах жертв, позволило ESET предположить, что эта кампания носила широкомасштабный характер.
