Компания ESET – лидер в области информационной безопасности – обнаружила новые уязвимости в продуктах Mozilla и Windows, которые использовались во время атак группы киберпреступников RomCom, связанной с Россией. Согласно телеметрии, с 10 октября по 4 ноября 2024 года потенциальные жертвы зафиксированы преимущественно в Европе и Северной Америке. Кроме этого, в 2024 году группа нацеливалась на Украину, США и европейские страны.
На этот раз в случае просмотра жертвой вредоносной веб-страницы злоумышленники могут запустить произвольный код без какого-либо взаимодействия с пользователем (нулевой клик), что приводит к установке бэкдора RomCom на компьютере жертвы. Группа киберпреступников способна выполнять команды и загружать дополнительные модули на устройство жертвы. 8 октября исследователи ESET обнаружили критическую уязвимость CVE-2024-9680, связанную с Mozilla, а в ходе дальнейшего анализа была также обнаружена уязвимость CVE-2024-49039 в Windows.
Рис.1. Карта потенциальных жертв.
Группа RomCom (также известная как Storm-0978, Tropical Scorpius или UNC2596) связана с Россией и проводит как атаки на отдельные отрасли, так и целенаправленные шпионские операции. В 2024 году ESET обнаружила кибершпионскую и киберпреступную активность RomCom, нацеленную на государственные учреждения, оборонный и энергетический секторы в Украине, фармацевтический и страховой секторы в США, юридический сектор Германии и государственные организации в Европе.
«Цепь компрометации состоит из поддельного веб-сайта, который перенаправляет потенциальную жертву на сервер с эксплойтом, и если он сработает, тогда выполняется шелл-код, который загружает и запускает бэкдор RomCom. Хотя неизвестно, как распространяется ссылка на фальшивый веб-сайт, однако, если страница открывается с помощью уязвимого браузера, компонент загружается и выполняется на компьютере жертвы без всякого взаимодействия с пользователем, – комментирует Дэмиен Шеффер, исследователь ESET, – Мы хотели бы поблагодарить команду Mozilla за оперативное реагирование и подчеркнуть их впечатляющую работу, благодаря которой удалось выпустить исправление в течение дня».
Стоит отметить, что уязвимости были исправлены командами Mozilla и Microsoft. В частности Mozilla исправила уязвимость 9 октября 2024 года, а Microsoft выпустила исправление для второй уязвимости 12 ноября 2024 года.
Для предотвращения подобных атак и своевременного выявления любой вредоносной активности следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR), а также управления уязвимостями и их исправлениями.
Источник: ESET
Для получения дополнительной информации об ESET и возможностях внедрения, пожалуйста, звоните нам по телефону +38 (044) 383-44-10 или пишите на электронную почту info@softico.ua.
