🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Ngọk Yêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý rừng phòng hộ Núi Cậu Dầu Tiếng đã đăng ký tín nhiệm. 🔥                    🔥 Quỹ Bảo vệ và Phát triển rừng tỉnh Điện Biên đã đăng ký tín nhiệm. 🔥                   

RomCom khai thác lỗ hổng Zero-Day của Firefox và Windows trong các cuộc tấn công mạng

27/11/2024

Nhóm tin tặc liên kết với Nga có tên gọi RomCom có liên quan đến việc khai thác lỗ hổng zero-day của 2 lỗ hổng bảo mật, một trong Mozilla Firefox và một trong Microsoft Windows, như một phần của các cuộc tấn công được thiết kế để đưa phần mềm độc hại cùng tên vào hệ thống.

ESET cho biết trong một báo cáo: "Trong một cuộc tấn công thành công, nếu nạn nhân duyệt một trang web có chứa mã khai thác, kẻ tấn công có thể chạy mã tùy ý mà không cần bất kỳ tương tác nào của người dùng (không cần nhấp chuột)  và dẫn đến việc cài đặt cửa hậu của RomCom trên máy tính của nạn nhân".

Lỗ hổng mang định danh CVE-2024-9680 (điểm CVSS: 9,8) là lỗ hổng sử dụng sau khi giải phóng trong thành phần Hoạt ảnh của Firefox (đã được Mozilla vá vào tháng 10 năm 2024). Lỗ hổng còn lại mang định danh CVE-2024-49039 (điểm CVSS: 8,8) là lỗ hổng leo thang đặc quyền trong Windows Task Scheduler (đã được Microsoft vá vào tháng 11 năm 2024)

RomCom, còn được gọi là Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 và Void Rabisu. Các cuộc tấn công này đáng chú ý vì triển khai RomCom RAT, một phần mềm độc hại được duy trì tích cực, có khả năng thực thi lệnh và tải xuống các mô-đun bổ sung vào máy của nạn nhân.

Chuỗi tấn công được công ty an ninh mạng Slovakia phát hiện liên quan đến việc sử dụng một trang web giả mạo (economistjournal[.]cloud) chịu trách nhiệm chuyển hướng nạn nhân đến một máy chủ (redjournal[.]cloud) lưu trữ phần mềm độc hại, sau đó kết hợp cả hai lỗ hổng để thực thi mã và thả RomCom RAT.

ESET giải thích: "Nếu nạn nhân sử dụng trình duyệt dễ bị tấn công truy cập vào trang web có chứa lỗ hổng này, lỗ hổng sẽ được kích hoạt và mã lệnh sẽ được thực thi trong một quy trình nội dung. Shellcode bao gồm hai phần: phần đầu tiên lấy phần thứ hai từ bộ nhớ và đánh dấu các trang chứa nó là có thể thực thi, trong khi phần thứ hai triển khai trình tải PE dựa trên dự án nguồn mở Shellcode Reflective DLL Injection ( RDI )".

Dữ liệu đo từ xa do ESET thu thập cho thấy phần lớn nạn nhân truy cập vào trang web lưu trữ mã độc đều ở Châu Âu và Bắc Mỹ.

Thực tế là CVE-2024-49039 cũng được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và báo cáo độc lập cho Microsoft. Điều đáng chú ý bởi đây là lần thứ hai RomCom bị phát hiện khai thác lỗ hổng zero-day ngoài thực tế, sau lần khai thác CVE-2023-36884 thông qua Microsoft Word vào tháng 6 năm 2023.

ESET cho biết: "Việc kết nối hai lỗ hổng zero-day đã trang bị cho RomCom một công cụ khai thác không cần tương tác của người dùng. Mức độ tinh vi này cho thấy ý chí và phương tiện của kẻ tấn công để có được hoặc phát triển các khả năng tàng hình".

Nguồn: thehackernews.com

scrolltop