ESETの研究者は、これまで知られていなかった脆弱性がMozilla製品に存在することを発見しました。この脆弱性は、ロシアとつながりのあるサイバー攻撃グループ「RomCom」によって実際に攻撃されました。RomComが重大なゼロデイ脆弱性を実環境で悪用したのは今回で少なくとも2回目であり、前回は2023年6月にMicrosoft Word経由でCVE-2023-36884が悪用されています。

この脆弱性は極めて深刻であり、CVE-2024-9680が割り当てられています。CVSSスコアは9.8で、脆弱なバージョンのFirefox、Thunderbird、およびTor Browserがブラウザの制限されたコンテキストでコードを実行できるようになります。これまで特定されていなかったWindowsの別の脆弱性（CVE-2024-49039、CVSSスコア8.8）と組み合わせることで、ログイン中のユーザーのコンテキストで任意のコードが実行される可能性があります。エクスプロイトが仕込まれたWebページにユーザーがアクセスすると、攻撃者は任意のコードを実行できます。この場合、ユーザーが何も操作しなくても、ユーザーのコンピュータにRomComが使用しているの同名のバックドアがインストールされます。

本ブログの要点：

• 2024年10月8日、ESETの研究者は、これまで特定されていなかったゼロデイ脆弱性がMozilla製品に存在しており、実際に悪用されていることを発見しました。
• このエクスプロイトを分析した結果、この脆弱性が特定されました。この脆弱性はFirefoxのアニメーションタイムライン機能に存在するUse-After-Freeのバグ（解放済みメモリへアクセスされる問題）であり、CVE-2024-9680が割り当てられています。Mozillaは、2024年10月9日にこの脆弱性のパッチを適用しています。
• さらに分析したところ、Windowsの別のゼロデイ脆弱性が見つかりました。この脆弱性は、Firefoxのサンドボックスの外部でコードを実行できる特権昇格のバグであり、現在CVE 2024 49039が割り当てられています。マイクロソフトは2024年11月12日に、この2番目の脆弱性に対するパッチを公開しました。
• 攻撃が成功した場合、RomComバックドアが配信されており、大規模なキャンペーンが実施されたと考えられます。

RomComはロシアとつながりのあるサイバー攻撃グループであり、Storm-0978、Tropical Scorpius、またはUNC2596としても知られています。RomComは、特定の業界の組織に対する場当たり的なキャンペーン、そして、標的を絞ったスパイ活動の両方を実施しています。RomComは、従来のサイバー犯罪に加えて、情報を収集するスパイ活動も積極的に行うようになっています。このグループが使用するバックドアは、コマンドを実行し、被害者のマシンに追加のモジュールをダウンロードすることができます。

ESETの調査から明らかになった、2024年にRomComが標的としていた業界を表1に示します。この情報から、RomComがスパイ活動だけでなく、サイバー犯罪にも関わっていることが明確になっています。

この侵害チェーンは、エクスプロイトをホストするサーバーに潜在的な被害者をリダイレクトする偽のWebサイトで構成されています。エクスプロイトが成功すると、RomComバックドアをダウンロードして実行するシェルコードが実行されます。この攻撃の例を図1に示します。偽のWebサイトに誘導するリンクがどのように配信されているのは不明ですが、脆弱なブラウザを使用してこのページにアクセスすると、ユーザーが何も操作しなくても、ペイロードがドロップされ、そのユーザーのコンピュータでペイロードが実行されます。数秒後にwindow.location.hrefを使用してJavaScriptのリダイレクトが実行され、エクスプロイトが最終的に実行されます。

ESETは、2024年10月10日から10月16日にかけて、最初の脆弱性が修正された直後に、エクスプロイトをホストしている別のC&Cサーバーを発見しました。表2に示しているように、このグループは、redirまたはredという接頭辞または接尾辞を正規のドメインに追加し、時にはトップレベルドメイン（TLD）も変更しながら、偽サーバーの命名スキームを繰り返し使用していました。攻撃の最後にはリダイレクトが実行され、被害者を元のドメイン名の正規のWebサイトに移動していました。これは、被害者に疑念を抱かせないようにするためと考えられます。。

脆弱なブラウザを使用している被害者がこのエクスプロイトが仕込まれたWebページにアクセスすると、脆弱性が攻撃され、コンテンツのプロセスでシェルコードが実行されます。このシェルコードは2つの部分で構成されています。最初の部分は、2番目の部分をメモリから取得し、格納されているページを実行可能としてマークします。2番目の部分は、オープンソースプロジェクト「Shellcode Reflective DLL Injection（RDI）」をベースとするPEローダーを実装しています。

ロードされたライブラリは、Firefoxのサンドボックスを回避する機能を実装しており、被害者のコンピュータでRomComバックドアをダウンロードして実行します。このバックドアは、journalctd[.]live、correctiv[.]sbs、またはcwise[.]storeにあるC&Cサーバーでステージングされます。使用されるC&Cサーバーは検体によって異なっています。

図2に示すように、ESETのテレメトリデータによると、2024年10月10日から2024年11月4日までの間、エクスプロイトをホストしているWebサイトにアクセスした潜在的な被害者は、主にヨーロッパと北アメリカに所在していました。ESETのテレメトリによると、標的となった潜在的な被害者の数は、国ごとに1人から最大で250人に上ることが確認されています。

2024年10月8日に、ESETは、このサイバー攻撃者によって管理されているサーバー1drv.us[.]comでホストされているRomComバックドアを配信するために使用されていた興味深いファイルを発見しました。このエクスプロイトは、FirefoxのアニメーションタイムラインにおけるUse-After-Freeの脆弱性を攻撃し、コンテンツのプロセスでコードを攻撃者が実行できるようになります。ESETは調査中に、表3に示すファイルを分析しました。

関連するタイムスタンプから、これらのファイルが2024年10月3日に作成され、オンラインで公開されたことを示しています。しかし、このサイバー攻撃者はこれ以前にこのエクスプロイトを入手していた可能性があります。

ESETはこの脆弱性を発見した後にすぐにMozillaに報告しました。一連のイベントのタイムラインを以下に示します。

• 2024年10月8日：検出と初期分析。
• 2024年10月8日：Mozillaに脆弱性を報告した。
• 2024年10月8日：Mozillaが脆弱性を確認した。
• 2024年10月9日：CVE-2024-9680が、Mozilla Corporationによって割り当てられた。
• 2024年10月9日：Firefoxに脆弱性のパッチが適用された（セキュリティアドバイザリ2024-51）。
• 2024年10月9日： リリース13.5.7によってTor Browserの脆弱性にパッチが適用された。
• 2024年10月10日：リリース6.8.1によってTailsの脆弱性にパッチが適用された。
• 2024年10月10日：Thunderbirdに脆弱性のパッチが適用された（セキュリティアドバイザリ2024-52）。

ESETは、Mozillaチームが非常に迅速に対応してくれたことに感謝します。1日でパッチをリリースしたMozillaチームの努力は賞賛に値するものです。

MozillaとTor Projectは、以下のバージョンに存在する脆弱性を修正するパッチを公開しました。

• Firefox 131.0.2
• Firefox ESR 115.16.1
• Firefox ESR 128.3.1
• Tor Browser 13.5.7
• Tails 6.8.1
• Thunderbird 115.16
• Thunderbird 128.3.1
• Thunderbird 131.0.1

このブログを公開する準備中に、フリーランスの研究者であるDimitri Fourny氏がこの脆弱性に関する詳細な分析結果を2024年11月14日に公開しています。

main-<Firefox version>.jsは、最初にブラウザの正確なバージョンをチェックし、攻撃の影響を受けるバージョンのいくつかの特定のオブジェクトのオフセットとサイズをチェックすることで、脆弱性を攻撃できるかどうかを判断します。これらのチェックが完了したら、animation0.htmlで実装されたエクスプロイトページにHTMLのiframeを追加します。animation0.htmlは、それぞれtarget0からtarget3として識別される4つのHTML div要素を作成します。しかし、最も重要なのは、図3に示すように、Object.prototypeのthenプロパティのgetter関数を定義することです。この関数が、Use-After-Freeの脆弱性を誘発します。この脆弱性について以下に説明します。エクスプロイトの作成者のコメント（深緑部分）に注目してください。これは、エクスプロイトがまだ開発段階にあるか、このサイバー攻撃者がエクスプロイトを購入したことを示している可能性があります。

最初のヒープスプレーの後、prepare関数は、前に作成されたそれぞれのdiv要素に対して1つずつ、4つのアニメーションオブジェクトを作成します（図4を参照）。これらのアニメーションオブジェクトはAnimationTimelineオブジェクトによって処理されます。

アニメーションが進行する間に、test関数が呼び出され、最初と2番目のアニメーションオブジェクトのreadyプロパティを一時停止して取得します。ドキュメントで説明されているように、readyプロパティは、アニメーションが再生される準備ができたときに解決されるPromiseを返します。このPromiseでthenメソッドを呼び出すと、図3に示すgetter関数が呼び出されます。基本的に、この関数はグローバルフラグ変数を増分し、変数が2に達したとき、最初のアニメーションオブジェクト（anim0）はキャンセルされ、すべてのdiv要素が削除されます。rm0関数が呼び出され（図3を参照）、アニメーションオブジェクトを解放するためにnullに設定しますが、このときにUse-After-Freeの脆弱性を誘発します。この関数はまた、Heap Feng Shuiをいくつか実行します。最初に発見されたエクスプロイトは、コードを実行するためにgetInfo関数を呼び出します。

その間、animation0.htmlのドキュメントがリフレッシュされると、そのAnimationTimelineオブジェクトのTickメソッドが定期的に呼び出されます。図5に示すように、このメソッドはアニメーションタイムラインに存在する異なるアニメーションオブジェクトを繰り返し処理し、削除するアニメーションをanimationsToRemoveと呼ばれるローカル配列変数に追加します。

アニメーションタイムラインの異なるアニメーションオブジェクトを繰り返し処理する間に、AnimationオブジェクトのTickメソッドが呼び出され、現在のアニメーションオブジェクトが解放されます。その結果として、ダングリングポインタが処理される可能性があります。ESETは、このエクスプロイトをデバッグし、最終的に上記で説明したgetter関数に到達するまでの一連の呼び出しを観察しました（図6と図7を参照）。

getter関数はAnimation::Cancelを呼び出し、AnimationTimeline::RemoveAnimationを呼び出します。次に、アニメーションオブジェクトanim0とanim1は、nullに設定され、解放されます。AnimationTimeline::Tickが配列animationsToRemoveを繰り返し処理するとき（図5の74行目）、AnimationTimeline::RemoveAnimationは、すでに削除されたAnimationオブジェクトのダングリングポインタを操作します（図8を参照）。

rm0関数でアニメーションを解放した後、エクスプロイトはさらにヒープメモリを管理し、解放されたアニメーションを置き換えるオブジェクトを制御します。そして最終的にgetInfo関数を呼び出します（図9を参照）。

このエクスプロイトコードについては詳しく説明しませんが、エクスプロイトの作成者はdivオブジェクトとその属性、およびImageDataオブジェクトを悪用して、図10に示すように、ImageDataのプロパティを漏えいしています。

次に、エクスプロイトコードはArrayBufferオブジェクトを操作して、任意のJavaScriptオブジェクトのアドレス（addrofプリミティブ）を漏えいし、Firefox JITコンパイラを悪用して、図11に示すように、コンテンツプロセスのコンテキストで最初のシェルコードコンポーネントを実行します。この手法は、こちらのブログで詳しく説明しています。

Mozillaは、Firefox 131.0.2、Firefox ESR 128.3.1、およびFirefox ESR 115.16.1について2024年10月9日にこの脆弱性にパッチを適用しました。diffが示すように、実質的に、タイムラインで扱われるアニメーションオブジェクトへのポインタは、参照カウントポインタ（RefPtr）を通じて実装されており、AnimationTimeline::Tickが依然としてそれらへの参照を保持しているため、アニメーションが解放されることはありません。

どちらのシェルコードも、JaveScriptのエクスプロイトファイルmain-<Firefox version>.jsに保管されています。最初のシェルコードは浮動小数点数の配列として動的に作成され、2番目のシェルコードは巨大なバイト配列として保存されます。

この最初のシェルコードは、0x8877665544332211というハードコードされたマジック値をメモリ内で検索して2番目のシェルコードを取得し、メモリ保護を読み取り/書き込み/実行（RWX）に変更し、このアドレスにあるコードを単に実行します。

この2番目のシェルコードは、Shellcode RDIプロジェクトのコンパイル版で、DLLをロードできます。このシェルコードで使用されている定数は、サイバー攻撃者によって変更されていません（https：//github.com/monoxgas/sRDI/blob/master/Native/Loader.cpp#L367と図12に示す定数を比較して参照してください）。

このシェルコードは、Firefoxのサンドボックスでコンテンツが処理される制限を回避することだけを目的とした埋め込みライブラリを単にロードします。

ロードされたライブラリ（SHA1：ABB54C4751F97A9FC1C9598FED1EC9FB9E6B1DB6）は、開発者によってPocLowILと命名されています。このライブラリは、2024年10月3日にコンパイルされ、信頼されていないプロセスレベルから、信頼されている（中程度の）プロセスレベルに引き上げてサンドボックスを回避します。基本的に、このライブラリは文書化されていないRPCエンドポイントを利用し、信頼されていないプロセスレベルから本来は呼び出せない隠されたPowerShellプロセスを起動し、C&Cサーバーからセカンドステージのマルウェアをダウンロードします。

脆弱性が開示されるまでのタイムラインを以下に示します。

• 2024年10月8日：ESETが、CVE-2024-9680についてMozillaに最初に報告したときに、サンドボックスの回避と考えられる情報を提供しました。
• 2024年10月14日：Mozillaのセキュリティチームはサンドボックスの回避を確認し、この脆弱性がWindowsのセキュリティの欠陥と関連していると判断しました。Mozillaのセキュリティチームは、脆弱性を評価するためにMicrosoft Security Response Center（MSRC）に連絡したことをESETに伝えてくれました。
• 2024年11月12日：Microsoftは、CVE-2024-49039に関するアドバイザリと、対応するパッチを更新プログラムKB5046612として公開しました。この脆弱性は、KB5046612で述べられているように、GoogleのThreat Analysis GroupのVlad Stolyarov氏とBahare Sabouri氏も独自に発見しています。

サンドボックスを回避するコードは、ライブラリの比較的小さなメイン関数内に存在します。図13に示すように、このコードは文書化されていないRPCエンドポイントを使用します。

この関数は、文書化されていない構造体を生成し、NdrClientCall2を3回呼び出します。この関数に渡される最初のパラメータpStubDescriptorは、MIDL_STUB_DESC構造体であり、そのRpcInterfaceInformationメンバーはGUID 33D84484-3626-47EE-8C6F-E7E98B113BE1によって識別されるインターフェースを指しています。このインターフェースは、WindowsライブラリのWPTaskScheduler.dllに実装されており、schedsvc.dllによってロードされ、タスクスケジューラサービス（svchost.exe）のプロセス内でホストされています。

このインターフェースを分析したところ、サンドボックスを回避するコードは以下の関数を呼び出していました。

• s_TaskSchedulerCreateSchedule
• s_TaskSchedulerExecuteSchedule
• s_TaskSchedulerDeleteSchedule（クリーンアップのためだけに使用）

RpcViewを使用し、いくつかの構造を部分的にリバースエンジニアリングしたところ、主な構造体が明らかになりました（図14を参照）。

IDA Proでこれらの構造体をさらに分析したところ、タスクの概要をより明確にできました（図15を参照）。

このコードに基づくと、悪意のあるライブラリはスケジュールタスクを作成し、任意のアプリケーションを中程度の整合性レベルで実行します。これにより、攻撃者はシステムで権限を昇格して、サンドボックスを突破できるようになります。図16に示すように、RPCインターフェースの作成時に適用されるセキュリティ記述子に対して制限が課されていないためにサンドボックスの回避が可能になります。

RpcServerRegisterIf3が呼び出されるときに、interface_security_descriptorという名前が変更された変数が使用されます。この変数にはD:P(A;;GA;;;S-1-15-2-1)(A;;GA;;;WD)という値が設定されています。セキュリティ記述子定義言語（SDDL）によると、これにより、すべてのユーザー（WD）がRPCインターフェースと通信し、その整合性レベルに関係なくプロシージャを呼び出すことが可能になります。

このケースでは、サイバー攻撃者はfirefox.exeという名前のタスクを作成し、conhost.exeをヘッドレスモードで起動し、子プロセスのウィンドウを隠します。コマンドラインの残りの部分（図15を参照）の難読化を解除して、図17に示すPowerShellコードが明らかになりました。

実行ファイルは、https://journalctd[.]live/JfWb4OrQPLhからダウンロードされ、%PUBLIC%フォルダにpublic.exeとして保存され実行されます。10秒後に、epublic.exeに名前が変更され再び実行されます。

KB5046612で公開されたWPTaskScheduler.dllのパッチが適用されたバージョン（バージョン10.0.19041.5129）は、 図18に示すように、さらに複雑なセキュリティ記述子を使用しています。

新しいセキュリティ記述子は以下の通りです。
D:(A;;GRGWGX;;;SY)(A;;GRGWGX;;;LS)(A;;GR;;;NS)(A;;GR;;;IU)S:(ML;;NWNXNR;;;ME) この文字列を分解すると、次のような制限ロジックが追加されたことが分かります。

• システム（SY）とローカルサービス（LS）のアカウントには、読み込み、書き込み、実行のアクセス権限が付与されます。
• ネットワークサービス（NS）アカウントと対話型ユーザー（IU）には読み込みアクセス権限のみが付与されます。
• 最後に、整合性が中レベル（ME）以下のオブジェクトは、読み取り、書き込み、実行アクセス権限が拒否されます。

更新されたセキュリティ記述子による新しい制限は、特権昇格を防ぎ、サンドボックスを回避するコードを利用できなくします。

2つのゼロデイ脆弱性を組み合わせることで、RomComは、ユーザーによる操作を必要としないエクスプロイトを作り出しています。この高度な開発能力は、ステルス機能を獲得または開発しようとする意志と手段をこのサイバー攻撃者が有していることを示しています。ESETは、脆弱性を発見した後すぐに、協調的な脆弱性開示プロセスに従って、詳細な検出結果をMozillaと共有しました。Mozillaは、ブログでどのように情報開示に対応したかについて発表し、25時間以内に修正プログラムを公開できました。これは業界標準と比較しても極めて迅速な対応でした。

ESETのブログページに掲載されたリサーチに関するお問い合わせは、threatintel@eset.comまでご連絡ください。
ESET は、プライベートAPTインテリジェンスレポートとデータフィードを提供しています。サービスの詳細は、ESET 脅威インテリジェンスのページをご覧ください。

IoC（セキュリティ侵害の痕跡）の詳細なリストと検体は、ESETのGitHubリポジトリに掲載されています。

ファイル

この表は、MITRE ATT&CKフレームワークのバージョン16を使用して作成されています。