Rus merkezli Romcom siber suç grubu, Avrupa ve Kuzey Amerika'daki Firefox ve TOR tarayıcı kullanıcılarını hedefleyen son saldırılarda iki sıfır günlük güvenlik açığı zincirledi.
İlk Kusur (CVE-2024-9680), Firefox'un Web tarayıcının kum havuzunda kod yürütülmesine izin veren animasyon zaman çizelgesi özelliğinde kullanılmayan bir hatadır. Mozilla, ESET'in bildirdikten bir gün sonra bu güvenlik açığını 9 Ekim 2024'te yamaladı.
Bu kampanyada sömürülen ikinci sıfır gün, Windows Görev Zamanlayıcı Hizmetinde bir ayrıcalık artış kusuru (CVE-2024-49039) ve saldırganların Firefox Sandbox dışında kod yürütmesine izin veren bir ayrıcalıktır. Microsoft bu güvenlik açığını bu ayın başlarında 12 Kasım'da ele aldı.
Romcom, iki güvenlik açıkını sıfır gün zincir istismarı olarak istismar etti ve bu da kullanıcı etkileşimi gerektirmeden uzaktan kod yürütülmelerine yardımcı oldu. Hedefleri sadece Romcom Backdoor'u sistemlerinde indiren ve uygulayan saldırgan kontrollü ve kötü niyetli bir web sitesini ziyaret etmek zorunda kaldı.
Saldırılarda kullanılan JavaScript istismarlarından birinin adına dayanarak (Main-Tor.js), tehdit aktörleri Tor tarayıcı kullanıcılarını (ESET'in analizine göre 12 ve 13 sürümleri) hedeflediler.
ESET araştırmacısı Damien Schaeffer, "Uzlaşma zinciri, potansiyel kurbanı istismar barındıran sunucuya yönlendiren sahte bir web sitesinden oluşuyor ve istismar başarılı olursa, Shellcode Romcom arka kapıyı indirip yürüttüğünü söyledi." Dedi.
Diyerek şöyle devam etti: "Sahte web sitesine bağlantının nasıl dağıtıldığını bilmesek de, sayfaya savunmasız bir tarayıcı kullanılarak ulaşılırsa, kurbanın bilgisayarına kullanıcı etkileşimi gerekmeden bir yük düşürülür ve yürütülür."
Bir kurbanın cihazına dağıtıldıktan sonra, bu kötü amaçlı yazılım saldırganların komutları çalıştırmasını ve ek yükler dağıtmasını sağladı.
ESET, "İki sıfır günlük güvenlik açığının bir araya getirilmesi, Romcom'u kullanıcı etkileşimi gerektirmeyen bir istismarla silahlandırdı. Bu sofistike düzeyde, tehdit oyuncunun gizli yetenekleri elde etme veya geliştirme iradesini ve araçlarını gösteriyor."
Buna ek olarak, bu saldırılarda Romcom Backdoor'un kurbanların cihazlarına konuşlandırılması ile sonuçlanan başarılı sömürü girişimlerinin sayısı, ESET'in bunun yaygın bir kampanya olduğuna inanmasına neden oldu.
Eset, "ESET telemetrisine göre, potansiyel hedeflerin sayısı ülke başına tek bir kurbandan 250'ye kadar sürüyor." Dedi.
Bu, Romcom saldırılarında ilk kez sıfır gün sömürdü. Temmuz 2023'te operatörleri, Vilnius, Litvanya'daki NATO zirvesine katılan organizasyonlara saldırmak için birden fazla pencere ve ofis ürününde sıfır gün (CVE-2023-36884) sömürdü.
ROMCOM (ayrıca Storm-0978, Tropikal Scorpius veya UNC2596 olarak da izlenir), finansal olarak motive olmuş kampanyalar ve orkestra fidye yazılımı ve gasp saldırılarına kimlik gerçeği hırsızlığı (muhtemelen istihbarat operasyonlarını desteklemeye yönelik) ile ilişkilendirilmiştir.
Tehdit grubu ayrıca o zamandan beri yeraltı fidye yazılımlarına geçen endüstriyel casus fidye yazılımı operasyonuyla bağlantılıydı.
ESET'e göre, Romcom şimdi Ukrayna, Avrupa ve Kuzey Amerika'daki örgütleri hükümet, savunma, enerji, ilaç ve sigorta dahil olmak üzere çeşitli endüstrilerdeki casusluk saldırıları için hedefliyor.
Microsoft Yamaları Windows Sıfır Gün Ukrayna'ya yapılan saldırılarda kullanıldı
Microsoft Kasım 2024 Patch Salı 4 sıfır gün, 89 kusur düzeltiyor
Microsoft Ekim 2024 Patch Salı 5 sıfır gün, 118 kusur düzeltiyor
Yeni pencereler sıfır günleri ücretsiz, resmi olmayan yamalar alır
Amazon, verileri çalmak için Rogue Uzak Masaüstü Kampanyasında kullanılan alanları ele geçirir
Kaynak: Bleeping Computer