RomCom (Storm-0978, Tropical Scorpius veya UNC2596 olarak da tanımlanır) olarak bilinen Rusya bağlantılı bir bilgisayar korsanlığı grubu, biri Mozilla Firefox’ta ve diğeri Microsoft Windows Görev Zamanlayıcı’da olmak üzere iki sıfır gün güvenlik açığından başarıyla yararlandı. CVE-2024-9680 ve CVE-2024-49039 olarak tanımlanan bu güvenlik açıkları, grubun etkilenen sistemlere rastgele kod yürütmesine ve kötü amaçlı arka kapılar yüklemesine olanak sağlamak için birbirine zincirlendi.
İlk güvenlik açığı olan CVE-2024-9680, Firefox’un animasyon zaman çizelgesi özelliğinde keşfedilen kritik bir ücretsiz kullanım sonrası hatadır. CVSS puanı 9,8 olan bu kusur, aralarında Firefox, Thunderbird ve Tor Tarayıcı’nın da bulunduğu Mozilla tarayıcılarının çeşitli sürümlerini etkiliyor. Bu kusur, saldırganların tarayıcının kısıtlı bağlamında rastgele kod çalıştırmasına olanak tanıyor ve bu da kötü amaçlı yazılım yüklenmesine yol açabiliyor. Mozilla, 9 Ekim 2024’te bu güvenlik açığını hızla düzelterek etkilenen tarayıcılardaki sorunu giderdi.
Daha ileri analizler, Windows’ta CVE-2024-49039 olarak atanan, önceden bilinmeyen ikinci bir güvenlik açığını ortaya çıkardı. Windows Görev Zamanlayıcı’daki bu ayrıcalık yükseltme güvenlik açığı 8,8 CVSS puanı aldı. Firefox güvenlik açığıyla birleştiğinde bu kusur, saldırganların oturum açmış kullanıcı bağlamında kod yürütmesine olanak tanıyor. Bu, kullanıcının herhangi bir etkileşimi olmasa bile, kötü amaçlı kodun çalıştırılabileceği ve tehdit aktörlerinin etkilenen sistem üzerinde kontrol sahibi olabileceği anlamına gelir. Microsoft, 12 Kasım 2024’te CVE-2024-49039 için bir yama yayınladı.
RomCom Tehdit Aktörü Gelişmiş Suistimal Zinciri Kullanıyor
Rusya ile bağlantısı olan bir tehdit aktörü olan RomCom’un daha önce hem siber casusluk hem de siber suç faaliyetleri yürüttüğü gözlemlenmişti. Bu son saldırı, grubun gelişmiş yeteneklerini ve daha karmaşık, gizli taktiklere doğru yöneldiğini gösteriyor. Bu iki güvenlik açığını birbirine zincirleyen RomCom, herhangi bir kullanıcı etkileşimi gerektirmeden kusurlardan yararlanmayı başardı ve bu da başarılı bir saldırı şansını artırdı.
Saldırı, kurbanların sahte bir web sitesine yönlendirilip daha sonra bu sitenin onları istismarı barındıran bir sunucuya yönlendirmesiyle başlıyor. Kurbanın savunmasız tarayıcısı istismara eriştiğinde, arka kapıyı sisteme bırakmak için kabuk kodu çalıştırılır. Bu arka kapı, saldırganların komutları yürütmesine ve ek kötü amaçlı modüller indirmesine olanak tanıyarak grubun ele geçirilen makineye kalıcı erişimini sağlar.
Bu saldırı için gereken kullanıcı etkileşiminin olmayışı, saldırının karmaşıklığını ve tehdit aktörünün tespit edilmekten kaçınma niyetini vurguluyor. Zincirlenmiş sıfır gün güvenlik açıklarını içeren bu tür saldırılar, RomCom’un yüksek hedefli operasyonlar için karmaşık istismar zincirleri geliştirme yeteneğinin açık bir göstergesidir.
Yaygın Etki ve Etkilenen Bölgeler
Firefox ve Windows’taki güvenlik açıklarını hedef alan kampanya, Avrupa ve Kuzey Amerika’da potansiyel kurbanlarla birlikte oldukça yaygın görünüyor. 10 Ekim 2024’ten 4 Kasım 2024’e kadar, istismarı barındıran, güvenliği ihlal edilmiş web sitelerini ziyaret eden çok sayıda kullanıcı öncelikle bu bölgelerde bulunuyordu. Kurbanların başlangıçta sahte web sitesine nasıl yönlendirildiğine ilişkin kesin yöntem belirsizliğini korurken, saldırının büyük ölçekli doğası, RomCom’un iyi organize edilmiş bir çabaya sahip olduğunu gösteriyor.
2024 yılında aynı tehdit aktörünün, Ukrayna’da devlet kurumlarını, savunma ve enerji sektörlerini, ABD’de ilaç ve sigorta endüstrilerini ve Almanya’da hukuk sektörünü hedef alan siber casusluk faaliyetleriyle ilişkilendirildiği ortaya çıktı. Bu saldırılar, artık siber suçları daha geleneksel casusluk hedefleriyle birleştiren grubun daha geniş bir stratejisinin parçası.
Tenable Kıdemli Personel Araştırma Mühendisi Satnam Narang, kullanıma ilişkin görüşlerini paylaştı. “Modern tarayıcılarda korumalı alan teknolojisinin benimsenmesiyle birlikte, tehdit aktörlerinin yalnızca tarayıcıdaki bir güvenlik açığından yararlanmaktan daha fazlasını yapması gerekiyor. RomCom tehdit aktörü, tarayıcı tabanlı bir istismarı ayrıcalık yükseltme kusuruyla birleştirerek Firefox sanal alanını atlamayı başardı”, dedi Narang.
RomCom grubu (Storm-0978), hem Firefox hem de Windows kullanıcılarını hedef alan iki sıfır gün hedefi de dahil olmak üzere bir dizi güvenlik açığından yararlandı. Satnam, “Bu istismar zinciri, tehdit aktörlerinin katıksız kararlılığını ve tarayıcı savunmalarını ihlal etmenin zorluklarını vurguluyor” dedi.
Exploit Ayrıntıları ve Yamalamanın Önemi
RomCom kampanyası, yaygın olarak kullanılan yazılımlardaki yama yapılmamış güvenlik açıklarının tehlikelerine örnek teşkil ediyor. Mozilla, Firefox kusurunu düzeltmek için hızla harekete geçerken, Microsoft’un Windows Görev Zamanlayıcı güvenlik açığına yönelik yaması Kasım ayının sonlarında geldi ve sistemleri bir aydan fazla bir süre boyunca açıkta bıraktı. Yama uygulamadaki bu gecikme, zamanında güvenlik güncellemelerinin kritik önemini ve sıfır gün güvenlik açıklarıyla ilişkili riskleri vurgulamaktadır.
Firefox güvenlik açığı olan CVE-2024-9680’e, keşfedilmesinden yalnızca bir gün sonra, 9 Ekim 2024’te bir CVE atandı. Mozilla’nın yanıtı oldukça hızlıydı ve etkilenen tarayıcılar için iki gün içinde bir düzeltme kullanıma sunuldu. Öte yandan kısa bir süre sonra Windows güvenlik açığı CVE-2024-49039 keşfedildi ve 12 Kasım 2024’e kadar bir düzeltme yayınlanmadı.
İlgili