Nhóm tin tặc RomCom đến từ Nga đã liên kết hai lỗ hổng zero-day trong các cuộc tấn công gần đây nhắm vào người dùng Firefox và Tor Browser trên khắp khu vực châu Âu và Bắc Mỹ.
Lỗ hổng đầu tiên, CVE-2024-9680 (điểm CVSS: 9,8) liên quan đến tính năng dòng thời gian hoạt ảnh của Firefox, cho phép các tin tặc thực thi mã trong sandbox của trình duyệt web. Mozilla đã vá lỗ hổng này vào ngày 9/10/2024, một ngày sau khi công ty an ninh mạng ESET (Slovakia) báo cáo về sự cố.
Zero-day thứ hai bị khai thác trong chiến dịch này là lỗ hổng leo thang đặc quyền với mã đnh danh CVE-2024-49039 (điểm CVSS: 8,8) trong dịch vụ Windows Task Scheduler, cho phép kẻ tấn công thực thi mã bên ngoài sandbox Firefox. Microsoft đã giải quyết lỗ hổng bảo mật này vào đầu 12/11/2024.
Các tin tặc RomCom đã lợi dụng hai lỗ hổng này như một khai thác chuỗi zero-day, giúp chúng thực thi mã từ xa mà không cần sự tương tác của người dùng.
Mục tiêu của những kẻ tấn công chỉ cần truy cập vào một trang web do chúng kiểm soát, đồng thời tạo ra một hoạt động độc hại để tải xuống và thực thi backdoor RomCom trên hệ thống.
Dựa trên tên của một trong những lỗ hổng JavaScript được sử dụng trong các cuộc tấn công (main-tor[.]js), kẻ tấn công cũng nhắm vào người dùng Tor Browser (phiên bản 12 và 13, theo phân tích của ESET).
Hình 1. Luồng tấn công của RomCom
Nhà nghiên cứu Damien Schaeffer của ESET cho biết: “Chuỗi xâm phạm bao gồm một trang web giả mạo là economistjournal[.]cloud và chuyển hướng nạn nhân đến máy chủ lưu trữ phần mềm độc hại redjournal[.]cloud, nếu khai thác thành công, shellcode sẽ được thực thi để tải xuống và chạy backdoor RomCom. Mặc dù chúng tôi không biết liên kết đến trang web giả mạo được phân phối như thế nào, tuy nhiên, nếu truy cập trang web bằng trình duyệt dễ bị tấn công, một phần mềm độc hại sẽ được nhúng và thực thi trên máy tính của nạn nhân mà không cần người dùng tương tác”.
Sau khi triển khai trên thiết bị của nn nhân, phần mềm độc hại này cho phép kẻ tấn công chạy lệnh và triển khai các phần mềm độc hại bổ sung.
Trong khi điều tra chiến dịch này, ESET phát hiện rằng các tác nhân đe dọa từ Nga tập trung tấn công vào các tổ chức ở Ukraine, châu Âu và Bắc Mỹ từ nhiều lĩnh vực khác nhau, bao gồm chính phủ, quốc phòng, năng lượng, dược phẩm và bảo hiểm.
“Việc kết hợp hai lỗ hổng zero-day đã trang bị cho RomCom một công cụ khai thác không cần tương tác của người dùng. Mức độ tinh vi này cho thấy khả năng và phương thức của các tin tặc nguy hiểm như thế nào”, các nhà nghiên cu ESET cho biết thêm.
Hình 2. Các nạn nhân bị ảnh hưởng bởi RomCom
Đây không phải là lần đầu tiên RomCom khai thác lỗ hổng zero-day trong các cuộc tấn công của mình. Vào tháng 7/2023, những kẻ tấn công này đã khai thác lỗ hổng zero-day (CVE-2023-36884) trong nhiều sản phẩm Windows và Office, nhằm mục tiêu để tấn công các tổ chức tham dự Hội nghị thượng đỉnh NATO tại Vilnius, Litva.
RomCom (còn được theo dõi với tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596) có liên quan đến các chiến dịch có động cơ tài chính và các cuộc tấn công mã độc tống tiền, được triển khai cùng với hành vi đánh cắp thông tin xác thực (có khả năng nhằm mục đích hỗ trợ các hoạt động tình báo).
Theo ESET, gần đây các tin tặc RomCom đã chuyển hướng sang các cuộc tấn công gián điệp có mục tiêu vào các chính phủ châu Âu và Ukraine, cũng như các thực thể năng lượng và quốc phòng tại quốc gia Đông Âu này.
Theo antoanthongtin.vn
