Специалисты по кибербезопасности из компании ESET обнаружили масштабную кампанию хакерской группы RomCom, в ходе которой злоумышленники эксплуатировали две ранее неизвестные уязвимости в браузере Firefox и операционной системе Windows. Атаки были направлены на пользователей в Европе и Северной Америке.
Технические детали уязвимостей
Первая уязвимость (CVE-2024-9680) затрагивает компонент Animation timelines в Firefox и представляет собой ошибку типа use-after-free. Эксплуатация этой уязвимости позволяет выполнить произвольный код в изолированной среде браузера. Mozilla оперативно выпустила исправление 9 октября 2024 года после получения отчета от исследователей ESET.
Вторая уязвимость (CVE-2024-49039) обнаружена в планировщике задач Windows и позволяет повысить привилегии до уровня Medium Integrity. Злоумышленники использовали специально созданное приложение для обхода песочницы Firefox и выполнения вредоносного кода. Microsoft устранила уязвимость в ноябрьском пакете обновлений безопасности.
Механизм проведения атак
Исследователи выявили, что RomCom объединила обе уязвимости в единую цепочку атаки. Процесс компрометации начинается с перенаправления жертвы на вредоносный сайт, где размещен эксплоит. При успешной эксплуатации уязвимостей происходит автоматическая загрузка и установка бэкдора RomCom без какого-либо взаимодействия с пользователем.
Масштаб и цели атак
По данным телеметрии ESET, количество скомпрометированных систем варьируется от единичных случаев до 250 жертв в отдельных странах. Основными целями RomCom стали организации в следующих секторах: государственные учреждения, оборонная промышленность, энергетика, фармацевтика и страхование.
Стоит отметить, что это не первый случай использования группировкой RomCom уязвимостей нулевого дня. В июле 2023 года хакеры уже применяли 0-day эксплоиты (CVE-2023-36884) для атак на организации, участвовавшие в саммите НАТО в Вильнюсе. Текущая активность группы демонстрирует их растущие технические возможности и persistent-характер угрозы для критически важной инфраструктуры.
В свете участившихся атак с использованием уязвимостей нулевого дня организациям настоятельно рекомендуется своевременно устанавливать обновления безопасности, применять многоуровневую защиту и проводить регулярный мониторинг систем на предмет подозрительной активности. Особое внимание следует уделить защите браузеров и системных компонентов, часто используемых злоумышленниками в качестве векторов первичного заражения.
