在最近的一份网络安全报告中,ESET 研究人员揭露了与俄罗斯结盟的威胁行为者 RomCom 利用 Mozilla Firefox 和 Microsoft Windows 中的零日漏洞发起的协同攻击。这些漏洞以前不为人知,在野外也被利用过,攻击者可以在没有用户交互的情况下执行恶意代码,显示出高度的复杂性。ESET 详细介绍了 RomCom 如何利用两个关键漏洞的组合:CVE-2024-9680: 火狐浏览器动画时间轴功能中的 “免用 ”漏洞,CVSS 得分为 9.8。据 ESET 称,该漏洞 “允许有漏洞的 Firefox、Thunderbird 和 Tor 浏览器版本在浏览器的受限上下文中执行代码”。Mozilla 于 2024 年 10 月 9 日迅速解决了这一漏洞,在收到报告后的短短 25 个小时内就解决了问题,这一周转速度被称赞为 “与行业标准相比令人印象深刻”。CVE-2024-49039:Windows “任务调度程序 ”服务中的权限升级漏洞,CVSS 等级为 8.8。该漏洞允许 RomCom 绕过 Firefox 沙盒并升级权限。微软证实了对该漏洞的利用,并于 2024 年 11 月 12 日发布了补丁。当这些漏洞结合在一起时,就能实现零点击利用,即受害者只需访问恶意网页,攻击就会成功。正如 ESET 所描述的那样,“对手可以运行任意代码–无需任何用户交互–在这种情况下,会导致在受害者的计算机上安装 RomCom 的同名后门。”RomCom 也被称为 Storm-0978 或 Tropical Scorpius,以网络犯罪和间谍活动双管齐下而闻名。在这次活动中,该组织利用漏洞提供了他们的 RomCom 后门,这是一种能够执行命令和下载其他恶意有效载荷的工具。ESET 的遥测结果表明,受害者主要集中在欧洲和北美,目标范围很广。该组织利用模仿合法网站的虚假域名将受害者重定向到漏洞托管服务器。例如:redircorrectiv[.]com模仿了非营利新闻编辑室Correctiv.devolredir[.]com冒充远程访问解决方案提供商Devolutions。这种策略使 RomCom 能够将恶意活动与合法网络流量混合在一起,从而降低被发现的可能性。Firefox 漏洞利用堆喷射和动画对象操作来触发 “免费后使用 ”漏洞,最终使攻击者能够执行 shellcode。相比之下,Windows漏洞利用了任务调度服务中一个未注明的RPC接口,允许权限升级和沙箱逃逸。ESET 指出,名为 PocLowIL 的恶意 Windows 库使用了薄弱的安全描述符,允许未经授权访问 RPC 接口。更新后的补丁限制了访问,有效地消除了攻击载体。ESET认为,Mozilla和微软在缓解这些漏洞方面的迅速合作功不可没。在 ESET 于 2024 年 10 月 8 日首次发现漏洞后,Mozilla 在一天之内就发布了 Firefox、Thunderbird 和 Tor 浏览器的补丁。微软需要更多时间来解决沙箱逃逸问题,并于 2024 年 11 月 12 日通过 KB5046612 部署了全面的修复程序。RomCom 漏洞利用活动凸显了与国家结盟的威胁行动者日益复杂的手段,以及快速披露漏洞和修补漏洞的极端重要性。正如 ESET 所强调的 “将两个零日漏洞串联起来,RomCom 就能利用无需用户交互的漏洞。这种复杂程度显示了威胁行为者获取或开发隐蔽能力的意愿和手段。”敦促使用受影响的 Firefox、Thunderbird 或 Windows 版本的组织立即应用最新更新,以防范此类高级威胁。欲了解更多信息,请阅读 ESET 的完整报告。
