Компанія ESET — лідер у галузі інформаційної безпеки — виявила нові уразливості у продуктах Mozilla та Windows, які використовувалися під час атак групи кіберзлочинців RomCom, пов’язаної з росією. Відповідно до телеметрії, з 10 жовтня до 4 листопада 2024 року потенційні жертви зафіксовані переважно в Європі та Північній Америці. Крім цього, у 2024 році група націлювалася на Україну, США та європейські країни.
Цього разу у разі перегляду жертвою шкідливої вебсторінки зловмисники можуть запустити довільний код без будь-якої взаємодії з користувачем (нульовий клік), що призводить до встановлення бекдору RomCom на комп’ютері жертви. Група кіберзлочинців здатна виконувати команди та завантажувати додаткові модулі на пристрій жертви. 8 жовтня дослідники ESET виявили критичну уразливість CVE-2024-9680, пов’язану з Mozilla, а під час подальшого аналізу було також виявлено уразливість CVE-2024-49039 у Windows.
Рис.1. Карта потенційних жертв.
Група RomCom (також відома як Storm-0978, Tropical Scorpius або UNC2596) пов’язана з росією та проводить як атаки на окремі галузі, так і цілеспрямовані шпигунські операції. У 2024 році ESET виявила кібершпигунську та кіберзлочинну активність RomCom, націлену на державні установи, оборонний та енергетичний сектори в Україні, фармацевтичний та страховий сектори у США, юридичний сектор Німеччини та державні організації у Європі.
«Ланцюг компрометації складається з підробленого вебсайту, який перенаправляє потенційну жертву на сервер з експлойтом, і якщо він спрацює, тоді виконується шелл-код, який завантажує та запускає бекдор RomCom. Хоча невідомо, як розповсюджується посилання на фальшивий вебсайт, однак, якщо сторінка відкривається за допомогою уразливого браузера, компонент завантажується та виконується на комп’ютері жертви без жодної взаємодії з користувачем, — коментує Демієн Шеффер, дослідник ESET. — Ми хотіли б подякувати команді Mozilla за оперативне реагування та підкреслити їхню вражаючу роботу, завдяки якій вдалося випустити виправлення протягом дня».
Варто зазначити, що уразливості були виправлені командами Mozilla та Microsoft відповідно. Зокрема Mozilla виправила уразливість 9 жовтня 2024 року, а Microsoft випустила виправлення для другої уразливості 12 листопада 2024 року.
Для запобігання подібним атакам та своєчасного виявлення будь-якої шкідливої активності варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR), а також управління уразливостями та їх виправленнями.
У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою support@eset.ua.