RomCom 黑客利用 Firefox 和 Windows 零日漏洞

admin 2024年11月28日19:58:39评论19 views字数 1259阅读4分11秒阅读模式

RomCom 黑客利用 Firefox 和 Windows 零日漏洞

总部位于俄罗斯的 RomCom 网络犯罪组织在最近针对欧洲和北美 Firefox 和 Tor 浏览器用户的攻击中发现了两个零日漏洞。

第一个漏洞 (CVE-2024-9680) 是 Firefox 动画时间线功能中的释放后使用错误,该功能允许在 Web 浏览器的沙箱中执行代码。Mozilla 于 2024 年 10 月 9 日(ESET 报告该漏洞一天后)修补了该漏洞。

利用的第二个零日漏洞是 Windows 任务计划程序服务中的权限升级漏洞 (CVE-2024-49039),该漏洞允许攻击者在 Firefox 沙箱之外执行代码。Microsoft 在本月初(即 11 月 12 日)修复了此安全漏洞。

RomCom 将这两个漏洞作为零日链漏洞利用,帮助他们无需用户交互即可获得远程代码执行。他们的目标只需访问一个由攻击者控制的恶意制作的网站,该网站会在其系统上下载并执行 RomCom 后门。

根据攻击中使用的 JavaScript 漏洞之一的名称 (main-tor.js),威胁者还针对 Tor 浏览器用户(根据 ESET 的分析,版本 12 和 13)。

RomCom 黑客利用 Firefox 和 Windows 零日漏洞

RomCom 攻击流程

ESET 研究员表示:“妥协链由一个虚假网站组成,该网站将潜在受害者重定向到托管漏洞的服务器,如果漏洞成功,就会执行 shellcode,下载并执行 RomCom 后门。”

虽然不知道假网站的链接是如何分发的,但是,如果使用易受攻击的浏览器访问该页面,则有效负载会被丢弃并在受害者的计算机上执行,无需用户交互。

一旦部署在受害者的设备上,该恶意软件使攻击者能够运行命令并部署额外的有效负载。将两个零日漏洞链接在一起,就会为 RomCom 提供了无需用户交互的漏洞。这种复杂程度也表明了威胁者获取或开发隐秘能力的决心和手段。

此外,这些攻击中成功利用攻击的次数最终导致 RomCom 后门部署在受害者的设备上,这使得人们有理由相信这是一次广泛的活动。根据 ESET 遥测数据,潜在目标的数量从每个国家一名受害者到多达 250 名受害者不等。

这并不是 RomCom 第一次利用零日漏洞进行攻击。2023 年 7 月,其运营商利用多个 Windows 和 Office 产品中的零日漏洞 (CVE-2023-36884) 攻击参加立陶宛维尔纽斯北约峰会的组织。

RomCom(也被追踪为 Storm-0978、Tropical Scorpius 或 UNC2596)与出于经济动机的活动、精心策划的勒索软件和勒索攻击以及凭证盗窃(可能旨在支持情报行动)有关。该威胁组织还与 Industrial Spy 勒索软件行动有关,该组织后来转向地下勒索软件。

据 ESET 称,RomCom 现在还针对乌克兰、欧洲和北美的组织进行跨行业的间谍攻击,包括政府、国防、能源、制药和保险。

参考及来源:https://www.bleepingcomputer.com/news/security/firefox-and-windows-zero-days-exploited-by-russian-romcom-hackers/

RomCom 黑客利用 Firefox 和 Windows 零日漏洞

RomCom 黑客利用 Firefox 和 Windows 零日漏洞

原文始发于微信公众号(嘶吼专业版):RomCom 黑客利用 Firefox 和 Windows 零日漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月28日19:58:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RomCom 黑客利用 Firefox 和 Windows 零日漏洞https://cn-sec.com/archives/3445100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息