Nhóm tin tặc liên kết với Nga có tên gọi RomCom có liên quan đến việc khai thác lỗ hổng zero-day của 2 lỗ hổng bảo mật, một trong Mozilla Firefox và một trong Microsoft Windows, như một phần của các cuộc tấn công được thiết kế để đưa phần mềm độc hại cùng tên vào hệ thống.
ESET cho biết trong một báo cáo: "Trong một cuộc tấn công thành công, nếu nạn nhân duyệt một trang web có chứa mã khai thác, kẻ tấn công có thể chạy mã tùy ý mà không cần bất kỳ tương tác nào của người dùng (không cần nhấp chuột) và dẫn đến việc cài đặt cửa hậu của RomCom trên máy tính của nạn nhân".
Lỗ hổng mang định danh CVE-2024-9680 (điểm CVSS: 9,8) là lỗ hổng sử dụng sau khi giải phóng trong thành phần Hoạt ảnh của Firefox (đã được Mozilla vá vào tháng 10 năm 2024). Lỗ hổng còn lại mang định danh CVE-2024-49039 (điểm CVSS: 8,8) là lỗ hổng leo thang đặc quyền trong Windows Task Scheduler (đã được Microsoft vá vào tháng 11 năm 2024)
RomCom, còn được gọi là Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 và Void Rabisu. Các cuộc tấn công này đáng chú ý vì triển khai RomCom RAT, một phần mềm độc hại được duy trì tích cực, có khả năng thực thi lệnh và tải xuống các mô-đun bổ sung vào máy của nạn nhân.
Chuỗi tấn công được công ty an ninh mạng Slovakia phát hiện liên quan đến việc sử dụng một trang web giả mạo (economistjournal[.]cloud) chịu trách nhiệm chuyển hướng nạn nhân đến một máy chủ (redjournal[.]cloud) lưu trữ phần mềm độc hại, sau đó kết hợp cả hai lỗ hổng để thực thi mã và thả RomCom RAT.
ESET giải thích: "Nếu nạn nhân sử dụng trình duyệt dễ bị tấn công truy cập vào trang web có chứa lỗ hổng này, lỗ hổng sẽ được kích hoạt và mã lệnh sẽ được thực thi trong một quy trình nội dung. Shellcode bao gồm hai phần: phần đầu tiên lấy phần thứ hai từ bộ nhớ và đánh dấu các trang chứa nó là có thể thực thi, trong khi phần thứ hai triển khai trình tải PE dựa trên dự án nguồn mở Shellcode Reflective DLL Injection ( RDI )".
Dữ liệu đo từ xa do ESET thu thập cho thấy phần lớn nạn nhân truy cập vào trang web lưu trữ mã độc đều ở Châu Âu và Bắc Mỹ.
Thực tế là CVE-2024-49039 cũng được Nhóm phân tích mối đe dọa (TAG) của Google phát hiện và báo cáo độc lập cho Microsoft. Điều đáng chú ý bởi đây là lần thứ hai RomCom bị phát hiện khai thác lỗ hổng zero-day ngoài thực tế, sau lần khai thác CVE-2023-36884 thông qua Microsoft Word vào tháng 6 năm 2023.
ESET cho biết: "Việc kết nối hai lỗ hổng zero-day đã trang bị cho RomCom một công cụ khai thác không cần tương tác của người dùng. Mức độ tinh vi này cho thấy ý chí và phương tiện của kẻ tấn công để có được hoặc phát triển các khả năng tàng hình".
Nguồn: thehackernews.com
Tín nhiệm mạng | Meta thông báo rằng họ đã xóa 2 triệu tài khoản trên khắp các nền tảng của mình kể từ đầu năm có liên quan đến các hành vi lừa đảo theo nhiều cách thức khác nhau.
Tín nhiệm mạng | Gã khổng lồ viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng họ cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.
Tín nhiệm mạng | Các tài liệu pháp lý được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối Pegasus.
Tín nhiệm mạng | Hôm nay là ngày phát hành bản vá lỗi tháng 11 năm 2024 của Microsoft, bao gồm các bản cập nhật bảo mật cho 89 lỗ hổng, bao gồm 4 lỗ hổng zero-day, trong đó có 2 lỗ hổng đang bị khai thác tích cực.
Tín nhiệm mạng | Công ty an ninh mạng Bitdefender của Romania đã phát hành một công cụ giải mã miễn phí giúp nạn nhân khôi phục dữ liệu bị mã hóa bằng phần mềm tống tiền ShrinkLocker.
Tín nhiệm mạng | Ngày 12/11/2024, Microsoft tiết lộ rằng 2 lỗ hổng bảo mật ảnh hưởng đến Windows NT LAN Manager (NTLM) và Task Scheduler đã bị khai thác một cách tích cực trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
