Güvenlik Operasyonları
ESET, Rus RomCom Hacking Grubunun Kullandığı İki Önemli Güvenlik Açığı Keşfetti
Chris Riotta (@chrisriotta) •
26 Kasım 2024
Eset’in güvenlik araştırmacıları, Mozilla ürünleri ve Windows’taki iki güvenlik açığının, işletmeleri hedef alması ve casusluk yapmasıyla bilinen Kremlin bağlantılı bir siber suç grubu olan RomCom tarafından aktif olarak kullanıldığı konusunda uyarıyor.
Ayrıca bakınız: Bulut Risk Raporu 2024: Kör Noktaların Belirlenmesi ve Zehirli Bulut Üçlemesinin Ele Alınması
Araştırmacılar Mozilla Foundation ürünlerinde iki kritik güvenlik açığı tespit etti. CVE-2024-9680 olarak takip edilen bir tanesi, Firefox ve Thunderbird e-posta istemcisinde kod yürütülmesine izin veren, ücretsiz kullanımdan sonra kullanılabilen bir kusurdur. Ayrıca Firefox’un değiştirilmiş bir sürümü olan Tor Tarayıcıyı da etkiler. Diğer kusur CVE-2024-49039, Firefox sanal alanını atlayan bir Windows ayrıcalık yükseltme hatasıdır. Mozilla ilk yamayı 9 Ekim’de yayınladı ve Microsoft, 12 Kasım’da ikinci yama için bir düzeltme duyurdu.
Her iki güvenlik açığını da keşfeden araştırmacı Damien Schaeffer, iki kusurun birlikte kullanılmasının, saldırganların rastgele kod yürütmesine olanak tanıdığını, RomCom bilgisayar korsanlarının kurbanın sistemine komutları çalıştırabilen ve ek modüller dağıtabilen bir arka kapı kurduğunu söyledi. Saldırı zinciri, kurbanları arka kapıyı dağıtmak için kabuk kodunu çalıştıran bir istismar sunucusuna yönlendirmek için sahte bir web sitesi kullanıyor.
Schaeffer, yaptığı açıklamada, “Sahte web sitesine giden bağlantının nasıl dağıtıldığını bilmiyoruz, ancak sayfaya savunmasız bir tarayıcı kullanılarak erişilirse, kurbanın bilgisayarına hiçbir kullanıcı etkileşimi gerekmeden bir veri yükleniyor ve çalıştırılıyor.” dedi. Bilgi Güvenliği Medya Grubu’na gönderildi. Eset, bunun RomCom’un Haziran 2023’te Windows arama işlevindeki bir kusur olan CVE-2023-36884’ü istismar etmesinin ardından bilinen ikinci sıfır gün istismarı olduğunu söyledi.
Güvenlik açıkları 9,8 ve 8,8 CVSS puanlarına sahiptir. RomCom, diğer küresel mağdurların yanı sıra Ukrayna’daki savunma, enerji ve hükümet sektörlerinin yanı sıra Amerika Birleşik Devletleri’ndeki ilaç ve sigorta sektörüne karşı siber suç ve casusluk kampanyaları yürütmüştür (bkz: Ukrayna Ajansları ve NATO, Zirve Öncesinde RAT’larla Hedef Alındı).
Raporlar ayrıca daha önce Rus bilgisayar korsanlığı grubunun Brüksel’deki 2023 Kadın Siyasi Liderler zirvesi de dahil olmak üzere birçok yüksek profilli Avrupa konferansına katılanları hedef alan bir dizi siber casusluk operasyonuyla ilişkilendirmişti. Tenable’ın kıdemli araştırma mühendisi Satnam Narang, saldırının hem tehdit aktörlerinin varlığının hem de tarayıcı savunmasını ihlal etmenin artan zorluğunun altını çizdiğini söyledi.
Narang yaptığı açıklamada, “Modern tarayıcılarda sandbox teknolojisinin benimsenmesiyle birlikte, tehdit aktörlerinin yalnızca tarayıcıdaki bir güvenlik açığından yararlanmaktan daha fazlasını yapması gerekiyor.” dedi. “Tarayıcı tabanlı bir istismar ile ayrıcalık yükseltme kusurunu birleştiren RomCom tehdit aktörü, Firefox sanal alanını atlatmayı başardı.”