Sicherheitsforscher von ESET haben eine großangelegte Angriffskampagne der Hackergruppe RomCom aufgedeckt, bei der zwei bisher unbekannte Zero-Day-Schwachstellen in Mozilla Firefox und Microsoft Windows ausgenutzt wurden. Die Angriffe richteten sich gezielt gegen Organisationen in Europa und Nordamerika.
Analyse der entdeckten Sicherheitslücken
Die erste kritische Schwachstelle (CVE-2024-9680) wurde im Animation-Timeline-Komponenten von Firefox identifiziert. Es handelt sich um eine Use-after-free-Schwachstelle, die es Angreifern ermöglicht, beliebigen Code innerhalb der Browser-Sandbox auszuführen. Mozilla reagierte prompt und veröffentlichte am 9. Oktober 2024 ein Sicherheitsupdate.
Die zweite Schwachstelle (CVE-2024-49039) betrifft den Windows Task Scheduler und ermöglicht eine Privilegienausweitung auf Medium Integrity Level. Die Kombination beider Schwachstellen erlaubte es den Angreifern, die Firefox-Sandbox zu umgehen und schädlichen Code mit erweiterten Systemrechten auszuführen. Microsoft hat diese Sicherheitslücke im November-Sicherheitsupdate geschlossen.
Sophisticated Attack Chain und Infektionsprozess
Die technische Analyse zeigt eine hochentwickelte Angriffskette, bei der beide Schwachstellen kombiniert wurden. Der Infektionsvorgang beginnt mit der Weiterleitung des Opfers auf eine kompromittierte Webseite. Dort wird der Firefox-Exploit ausgelöst, gefolgt von der Windows-Privilegienausweitung, was zur automatischen Installation eines RomCom-Backdoors führt – ohne jegliche Benutzerinteraktion.
Zielgerichtete Angriffe auf kritische Infrastruktur
Nach ESET-Telemetriedaten variiert die Anzahl kompromittierter Systeme je nach Land zwischen einzelnen Fällen und bis zu 250 Opfern. Im Fokus der Angreifer standen besonders Regierungseinrichtungen, Verteidigungsindustrie, Energiesektor, Pharmabranche und Versicherungsunternehmen. Diese Kampagne demonstriert die zunehmenden technischen Fähigkeiten der RomCom-Gruppe, die bereits im Juli 2023 Zero-Day-Exploits gegen NATO-Gipfelteilnehmer in Vilnius einsetzte.
Angesichts der steigenden Bedrohung durch Zero-Day-Exploits wird Organisationen dringend empfohlen, ihre Cybersicherheitsstrategie zu überprüfen. Zentrale Maßnahmen umfassen die zeitnahe Implementation von Sicherheitsupdates, den Einsatz mehrschichtiger Sicherheitslösungen und kontinuierliches Monitoring der Systemaktivitäten. Besondere Aufmerksamkeit sollte der Absicherung von Webbrowsern und kritischen Systemkomponenten gelten, da diese häufig als initiale Angriffsvektoren missbraucht werden. Die Implementierung eines systematischen Patch-Managements und regelmäßige Sicherheitsaudits sind entscheidend für die Prävention solcher ausgefeilter Cyberangriffe.
