A feltehetően orosz székhelyű RomCom (más néven Storm-0978, Tropical Scorpius vagy UNC2596) APT csoport két zero-day sérülékenységet kombinált a legutóbbi támadásaiban, amelyek a Firefox és a Tor böngészők felhasználóit célozták Európában és Észak-Amerikában.
Az első sérülékenység CVE-2024-9680 azonosítón nyomon követhető, use-after-free típusú biztonsági hiba a Firefox animációs idővonal funkciójában, ami kódfuttatást tesz lehetővé a böngésző sandboxában. Ez a sérülékenység egy nappal a bejelentése után, október 9-én javításra került a Mozilla által.
A kampány során kihasznált második zero-day sérülékenység a CVE-2024-49039 azonosítón nyomon követhető, Windows Task Scheduler szolgáltatásban fellelhető jogosultságkiterjesztési hiba. Ezzel lehetségessé válik a támadók számára, hogy kódot futtassanak a Firefox és a Tor böngészők sandboxán kívül. A Microsoft november 12-én javította a hibát.
A RomCom a két zero day sérülékenységet láncba fűzve alkalmazta, ami lehetővé tette számukra a távoli kódfuttatást felhasználói interakció nélkül. A célpontoknak mindössze annyit kellett tenniük, hogy meglátogattak egy támadók által irányított, rosszindulatú weboldalt, amely letöltötte és futtatta a RomCom backdoort a rendszerükön. Ezután a támadók parancsokat hajthattak végre a fertőzött rendszereken, vagy további payloadokat telepíthettek.
Az ESET a kampány vizsgálata során megállapította, hogy az orosz fenyegetettségi szereplők támadásaik során Ukrajnában, Európában és Észak-Amerikában működő szervezeteket céloztak meg különböző iparágakban: kormányzati, védelmi, energiaipari, gyógyszeripari és biztosítási szervezetek rendszerei estek áldozatul.
Ez nem az első alkalom, hogy a RomCom csoport zero-day sérülékenységeket használ ki támadásai során. 2023 júliusában például a litván Vilniusban tartott NATO csúcstalálkozó résztvevőit támadták Windows és Office sérülékenységek kihasználásával. Az ESET szerint a RomCom az utóbbi időben elsősorban kémkedési célú támadásokat indít európai és ukrán kormányzati szervezetek, valamint ukrán energia- és védelmi ipari szereplők ellen.
