Rusya bağlantılı bilgisayar korsanlığı grubu RomCom’un, karmaşık bir siber casusluk kampanyası kapsamında Mozilla Firefox ve Windows sistemlerini etkileyen iki kritik sıfır gün güvenlik açığından yararlandığı keşfedildi.
Güvenlik açıkları, saldırganların kurbanların bilgisayarlarında herhangi bir kullanıcı etkileşimi olmadan kötü amaçlı kod çalıştırmasına olanak tanıdı.
Kritik CVSS puanı 9,8 olan CVE-2024-9680 olarak tanımlanan ilk güvenlik açığı, aralarında Firefox, Thunderbird ve Tor Tarayıcının da bulunduğu Mozilla ürünlerini etkiledi. Saldırganlar, bir Windows güvenlik açığıyla (CVE-2024-49039, CVSS 8.8) birleştirildiğinde, kullanıcı düzeyinde ayrıcalıklarla rastgele kod çalıştırabilir.
ESET araştırmacıları bu açığı 8 Ekim 2024’te keşfettiler ve Mozilla’nın hemen yanıt verip 24 saat içinde yamaları yayınlamasını sağladılar. Microsoft daha sonra 12 Kasım’da KB5046612 güncelleştirmesi aracılığıyla Windows güvenlik açığını yamaladı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Saldırı zinciri, kurbanların kendilerini açıktan yararlanmayı barındıran sunuculara yönlendiren ele geçirilmiş web sitelerini ziyaret etmesiyle başladı.
Grup, meşru web sitelerini taklit eden yanıltıcı alan adları kullandı ve orijinal görünmek için “redir” veya “red” gibi önek veya son ekler ekledi. Başarılı olduktan sonra, istismar zinciri, RomCom’un komutları yürütebilen ve ek kötü amaçlı modüller indirebilen imzalı arka kapısını teslim etti.
10 Ekim ile 4 Kasım 2024 tarihleri arasında, kampanya öncelikle Avrupa ve Kuzey Amerika’daki mağdurları hedef aldı ve etkilenen sayılar ülke başına tek haneli rakamlardan 250’ye kadar değişiyordu. RomCom’un 2024’teki faaliyetleri, hem siber suçlara hem de casusluk operasyonlarına ikili bir odaklanma gösterdi ve aşağıdakiler de dahil olmak üzere çeşitli sektörleri hedef aldı:
- Ukrayna ve Avrupa’daki devlet kurumları
- Ukrayna’da savunma sektörü
- Ukrayna’da enerji sektörü
- ABD’de ilaç sektörü
- Almanya’da hukuk sektörü
- ABD’de sigorta sektörü
Firefox güvenlik açığı, animasyon zaman çizelgesi özelliğindeki serbest kullanım sonrası kullanım hatasından kaynaklanırken Windows güvenlik açığı, Görev Zamanlayıcı hizmetindeki belgelenmemiş bir RPC uç noktasından yararlandı. Bu güvenlik açıklarının birleşimi, saldırganların Firefox’un sanal alan kısıtlamalarını aşmasına ve hedeflenen sistemlerdeki ayrıcalıkları yükseltmesine olanak tanıdı.
Bu, RomCom’un Haziran 2023’te Microsoft Word aracılığıyla CVE-2023-36884’ü kötüye kullanmasının ardından son aylarda gerçekleştirdiği ikinci büyük sıfır gün istismarına işaret ediyor. Storm-0978, Tropical Scorpius veya UNC2596 olarak da bilinen grup, saldırı yöntemleri.
Güvenlik açıkları aşağıdaki sürümlerde düzeltildi:
- Firefox131.0.2
- Firefox ESR 115.16.1 ve 128.3.1
- Tor Tarayıcı 13.5.7
- Thunderbird 115.16, 128.3.1 ve 131.0.1
- Kuyruklar 6.8.1
Bu güvenlik açıklarına karşı korunmak için kullanıcıların sistemlerini ve tarayıcılarını en son sürümlere güncellemeleri önemle tavsiye edilir.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.