Rusya bağlantılı APT grubu RomCom, bu yılın başlarında Firefox’ta bir uzaktan kod yürütme kusuru olan CVE-2024-9680’i ve Windows Görev Zamanlayıcı’da ayrıcalık yükselmesi güvenlik açığı olan CVE-2024-49039’u kullanan saldırıların arkasındaydı.
ESET araştırmacıları, “İki sıfır gün güvenlik açığının bir araya getirilmesi, RomCom’u kullanıcı etkileşimi gerektirmeyen bir istismarla donattı” dedi.
Sıfır tıklama istismarından yararlanan kampanya
CVE-2024-9680, saldırganların tarayıcının kısıtlı bağlamında kod yürütmesine izin verdi ve CVE-2024-49039, Firefox’un sanal alanının dışında çalışmasına izin verdi ve tüm bunlar, kurbanlar web siteleriyle herhangi bir şekilde etkileşime girmeden gerçekleşti.
Mağdurun güvenliğini tehlikeye atmak için zincirden yararlanın (Kaynak: ESET)
Her iki güvenlik açığını da keşfeden ESET araştırmacısı Damien Schaeffer, güvenlik ihlali zincirinin, potansiyel kurbanı sıfır tıklamayla istismarı barındıran sunucuya yönlendiren sahte bir web sitesinden ve eğer istismar tetiklendiyse, bu güvenlik açığını indirip çalıştıran kabuk kodundan oluştuğunu söyledi. RomCom arka kapısı yürütülür.
Ayrıca sahte web sitesine olan bağlantının nasıl dağıtıldığını bilmediklerini de paylaştı.
ESET, “10 Ekim 2024’ten 4 Kasım 2024’e kadar telemetrimize göre, istismarı barındıran web sitelerini ziyaret eden potansiyel kurbanlar çoğunlukla Avrupa ve Kuzey Amerika’da bulunuyordu” diye paylaştı ve kampanyanın yaygın göründüğünü kaydetti.
RomCom’un arka kapısı, kurbanların bilgisayarına komutları yürütme ve ek modüller indirme yeteneğine sahiptir.
Şirket, “Bu düzeydeki karmaşıklık, tehdit aktörünün gizli yetenekler elde etme veya geliştirme niyetini ve araçlarını gösteriyor” diye ekledi.
Schaeffer, Firefox’taki güvenlik açığını 8 Ekim’de keşfetti ve bunu hemen Mozilla’ya bildirdi. Mozilla, Firefox ve Firefox ESR düzeltmesini 25 saat içinde gönderdi. İki gün sonra, Mozilla’nın Thunderbird e-posta istemcisine yönelik bir düzeltme de yayınlandı ancak şirket, CVE-2024-9680 gibi güvenlik açıklarının “Thunderbird ürününde e-posta yoluyla yararlanılamayacağını çünkü posta okurken komut dosyası oluşturmanın devre dışı bırakıldığını” belirtti.
Kısa bir süre sonra Tor Projesi, Tor Tarayıcı’nın değiştirilmiş bir sürümünü kullanan Tor Tarayıcı ve Tails işletim sisteminin çeşitli sürümlerinde CVE-2024-9680’i düzeltti.
Microsoft, 12 Kasım’da CVE-2024-49039 için bir düzeltme yayınladı.
ESET, iki güvenlik açığının temel neden analizini, kabuk kodunun teknik analizini ve bu kampanyayla ilgili güvenlik ihlali göstergelerini yayınladı.
RomCom Hakkında
RomCom (diğer adıyla Storm-0978, Tropical Scorpius veya UNC2596), hem seçilmiş iş sektörlerine karşı fırsatçı kampanyalar hem de hedefli casusluk operasyonları yürüten, Rusya bağlantılı bir tehdit aktörüdür.
Şirket, “Bu, Haziran 2023’te CVE-2023-36884’ün Microsoft Word aracılığıyla kötüye kullanılmasından sonra, RomCom’un vahşi doğada önemli bir sıfır gün güvenlik açığından yararlanırken yakalandığı en azından ikinci seferdir” dedi.
“2024 yılında ESET, RomCom’un Ukrayna’daki devlet kurumlarına, savunma ve enerji sektörlerine, ABD’deki ilaç ve sigorta sektörlerine yönelik siber casusluk ve siber suç operasyonlarını keşfetti; Almanya’da hukuk sektörü; ve Avrupa’daki devlet kurumları.