Дослідники з компанії ESET виявили нову серію цільових кібератак, що проводяться хакерським угрупованням RomCom. Зловмисники використовують дві раніше невідомі уразливості нульового дня у браузері Firefox та операційній системі Windows для компрометації критично важливих об’єктів інфраструктури в Європі та Північній Америці.
Аналіз виявлених уразливостей
Перша уразливість (CVE-2024-9680) знаходиться в компоненті Animation timelines браузера Firefox. Це помилка типу use-after-free, яка дозволяє виконати довільний код в ізольованому середовищі браузера. Mozilla випустила виправлення 9 жовтня 2024 року після отримання звіту від спеціалістів ESET.
Друга критична уразливість (CVE-2024-49039) виявлена в планувальнику завдань Windows. Експлуатація цієї вразливості дозволяє підвищити привілеї до рівня Medium Integrity, що надає зловмисникам можливість обходити захисну пісочницю Firefox. Microsoft усунула цю проблему в листопадовому оновленні безпеки.
Механізм проведення атак та цільові об’єкти
Експерти встановили, що RomCom використовує комплексний ланцюжок атаки, який починається з перенаправлення жертви на шкідливий веб-сайт. При успішній експлуатації обох уразливостей відбувається автоматичне встановлення бекдору без будь-якої взаємодії з користувачем. За даними телеметрії ESET, кількість скомпрометованих систем варіюється від поодиноких випадків до 250 жертв у окремих країнах.
Сектори під загрозою
Основними цілями кібератак стали організації в таких критичних секторах:
– Державні установи
– Оборонна промисловість
– Енергетичний сектор
– Фармацевтичні компанії
– Страхові організації
Історія активності RomCom
Варто зазначити, що це не перша кампанія RomCom з використанням уразливостей нульового дня. У липні 2023 року група вже застосовувала 0-day експлойти (CVE-2023-36884) для атак на організації, пов’язані з самітом НАТО у Вільнюсі. Поточна активність демонструє зростання технічних можливостей угруповання та його націленість на критичну інфраструктуру.
У світлі виявлених загроз організаціям рекомендується терміново оновити програмне забезпечення, впровадити багаторівневий захист та посилити моніторинг систем. Особливу увагу слід приділити захисту веб-браузерів та системних компонентів, які часто стають первинними векторами зараження. Регулярні оцінки безпеки та навчання персоналу також мають стати невід’ємною частиною стратегії кіберзахисту.
