Компанія ESET повідомляє про виявлення нових уразливостей у продуктах Mozilla та Windows, які використовувалися під час атак групи кіберзлочинців RomCom, пов’язаної з росією. Відповідно до телеметрії, з 10 жовтня до 4 листопада 2024 року потенційні жертви зафіксовані переважно в Європі та Північній Америці. Крім цього, у 2024 році група націлювалася на Україну, США та європейські країни.

Цього разу у разі перегляду жертвою шкідливої вебсторінки зловмисники можуть запустити довільний код без будь-якої взаємодії з користувачем (нульовий клік), що призводить до встановлення бекдору RomCom на комп’ютері жертви. Група кіберзлочинців здатна виконувати команди та завантажувати додаткові модулі на пристрій жертви. 8 жовтня дослідники ESET виявили критичну уразливість CVE-2024-9680, пов’язану з Mozilla, а під час подальшого аналізу було також виявлено уразливість CVE-2024-49039 у Windows.

Група RomCom (також відома як Storm-0978, Tropical Scorpius або UNC2596) пов’язана з росією та проводить як атаки на окремі галузі, так і цілеспрямовані шпигунські операції. У 2024 році ESET виявила кібершпигунську та кіберзлочинну активність RomCom, націлену на державні установи, оборонний та енергетичний сектори в Україні, фармацевтичний та страховий сектори у США, юридичний сектор Німеччини та державні організації у Європі.

«Ланцюг компрометації складається з підробленого вебсайту, який перенаправляє потенційну жертву на сервер з експлойтом, і якщо він спрацює, тоді виконується шелл-код, який завантажує та запускає бекдор RomCom. Хоча невідомо, як розповсюджується посилання на фальшивий вебсайт, однак, якщо сторінка відкривається за допомогою уразливого браузера, компонент завантажується та виконується на комп’ютері жертви без жодної взаємодії з користувачем, — коментує Демієн Шеффер, дослідник ESET. — Ми хотіли б подякувати команді Mozilla за оперативне реагування та підкреслити їхню вражаючу роботу, завдяки якій вдалося випустити виправлення протягом дня».

Варто зазначити, що уразливості були виправлені ​​командами Mozilla та Microsoft відповідно. Зокрема Mozilla виправила уразливість 9 жовтня 2024 року, а Microsoft випустила виправлення для другої уразливості 12 листопада 2024 року.