سوء استفاده بکدور Romcom از دو آسیب پذیری روز صفر در فایرفاکس و ویندوز

محققان سیسکو تالوس از اواخر سال 2023 شاهد موج جدیدی از حملات سایبری از سوی یک گروه تهدید کننده روسی به نام UAT-5647 می‌باشند. این گروه در ماه اکتبر، نوع جدیدی از بدافزار RomCom را علیه نهادهای دولتی اوکراین و لهستان به کار گرفت.

بکدور ROMCOM متعلق به یک گروه تهدید پیچیده و در حال تکامل است که به دنبال حملات جاسوسی سایبری با انگیزه مالی است و قادر به سرقت اطلاعات حساس و استقرار بدافزارهای دیگر می‌باشد.

این بکدور که با نام‌های Storm-0978، Tropical Scorpius، UAC-0180، UNC2596  و Void Rabisu نیز دنبال می‌شود، حداقل از سال 2022 به منظور انجام عملیات‌های جرایم سایبری فعال می‌باشد.

گروه هکری RomCom اخیرا از دو آسیب ‌پذیری روز صفر در مرورگر فایرفاکس (CVE-2024-9680) و سیستم عامل ویندوز (CVE-2024-49039) سوء استفاده کرده است که امکان اجرای حملات پیچیده بدون نیاز به تعامل با کاربر را فراهم می‌آورند.

CVE-2024-9680، یک آسیب ‌پذیری بحرانی (امتیاز CVSS 9.8) است که امکان اجرای کد را در مرورگر فراهم می‌آورد. این آسیب پذیری در اکتبر 2024 توسط موزیلا پچ شده است.

در حالی که CVE-2024-49039، ( امتیاز ۸.۸)، یک آسیب پذیری افزایش سطح دسترسی در Task Scheduler ویندوز است که در نوامبر 2024 توسط مایکروسافت پچ گردید. اکسپلویت موفق دو آسیب پذیری CVE-2024-49039 و CVE-2024-9680 منجر به نصب بکدور RomCom بر روی سیستم‌های قربانیان می‌شود.

زنجیره حمله کشف ‌شده توسط شرکت ESET شامل استفاده از یک وب ‌سایت جعلی  (economistjournal[.] cloud) می‌باشد که مسئول هدایت قربانیان احتمالی به سروری (redjournal[.] cloud) است که میزبان پیلود مخرب است.

در واقع چنانچه قربانی یک صفحه وب حاوی اکسپلویت را در مرورگر خود باز کند، آنگاه مهاجم می‌تواند کد دلخواه را بدون هیچ گونه تعاملی با کاربر (zero click یا بدون کلیک) اجرا کند که در نهایت منجر به نصب بکدور Romcom در رایانه قربانی خواهد شد.