Компания ESET – лидер в области информационной безопасности – обнаружила новые уязвимости в продуктах Mozilla и Windows, которые использовались при атаке группы киберпреступников RomCom, связанной с россией. Согласно телеметрии, с 10 октября по 4 ноября 2024 года потенциальные жертвы зафиксированы преимущественно в Европе и Северной Америке. Кроме того, в 2024 году группа нацеливалась на Украину, США и европейские страны.
На этот это раз в случае просмотра жертвой вредоносной веб-страницы злоумышленники могут запустить произвольный код без какого-либо взаимодействия с пользователем (нулевой клик), что приводит к установке бэкдора RomCom на компьютере жертвы. Группа киберпреступников может выполнять команды и загружать дополнительные модули на устройство жертвы. 8 октября исследователи ESET обнаружили критическую уязвимость CVE-2024-9680, связанную с Mozilla, а в ходе дальнейшего анализа была также обнаружена уязвимость CVE-2024-49039 в Windows.
Рис.1. Карта потенциальных жертв.
Группа RomCom (также известная как Storm-0978, Tropical Scorpius или UNC2596) связана с россией и проводит как атаки на отдельные отрасли, так и целенаправленные шпионские операции. В 2024 году ESET обнаружила кибершпионскую и киберпреступную активность RomCom, нацеленную на государственные учреждения, оборонный и энергетический секторы в Украине, фармацевтический и страховой секторы в США, юридический сектор Германии и государственные организации в Европе.
«Цепь компрометации состоит из поддельного веб-сайта, который перенаправляет потенциальную жертву на сервер с эксплойтом, и если он сработает, то выполняется шелл-код, который загружает и запускает бэкдор RomCom. Хотя неизвестно, как распространяется ссылка на фальшивый веб-сайт, однако, если страница открывается с помощью уязвимого браузера, компонент загружается и выполняется на компьютере жертвы без взаимодействия с пользователем, — комментирует Дэмиен Шеффер, исследователь ESET. — Мы хотели бы поблагодарить команду Mozilla за оперативное реагирование и подчеркнуть их впечатляющую работу, благодаря которой удалось выпустить исправление в течение дня».
Стоит отметить, что уязвимости были исправлены командами Mozilla и Microsoft соответственно. В частности, Mozilla исправила уязвимость 9 октября 2024 года, а Microsoft выпустила исправление для второй уязвимости 12 ноября 2024 года.
Для предотвращения подобных атак и своевременного обнаружения любой вредоносной активности следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR), а также управления уязвимостями и их исправлениями.
В случае обнаружения вредоносной деятельности в собственных IT-системах украинские пользователи продуктов ESET могут обратиться за помощью в круглосуточную службу технической поддержки по телефону +380 44 545 77 26 или по электронному адресу support@eset.ua.