ESET Research ontdekte een nog onbekende kwetsbaarheid, CVE-2024-9680, in Mozilla-producten die ‘in the wild’ werd gebruikt door de aan Rusland gelinkte APT-groep RomCom. Analyses onthulden ook in Windows een zero-day-kwetsbaarheid: een privilege-escalatie-bug, nu toegewezen aan CVE-2024-49039. In 2024 sloeg RomCom toe in Oekraïne, andere Europese landen en de VS. Volgens ESET telemetrie bevonden zich tussen 10 oktober 2024 en 4 november 2024 de potentiële slachtoffers die websites bezochten me
· ESET Research ontdekte twee nog onbekende kwetsbaarheden, één in Mozilla en één in Windows. Zij werden gebruikt door RomCom, de aan Rusland gelinkte Advanced Persistent Threat (APT)-groep.
· Analyse van de exploit leidde tot de ontdekking van CVE-2024-9680, een ‘use-after-free’-bug in de animatie-tijdlijnfunctie van Firefox. ESET meldde dit op 8 oktober 2024 aan Mozilla en het werd binnen de dag gepatcht.
· Deze kritieke kwetsbaarheid heeft een score van 9,8 op 10.
· Verdere analyse onthulde ook een zero-day-kwetsbaarheid in Windows: een privilege-escalatie-bug, toegewezen aan CVE 2024 49039, die code buiten de sandbox van Firefox laat draaien. Microsoft bracht een patch uit voor deze kwetsbaarheid op 12 november 2024.
· De twee zero-day-kwetsbaarheden samen bewapenden RomCom met een exploit die geen andere interactie van de gebruiker vereist dan het browsen naar een speciaal gemaakte website.
· Potentiële slachtoffers die websites bezochten die de exploit hosten, waren voornamelijk in Europa en Noord-Amerika te vinden.
MONTREAL, BRATISLAVA, 26 november 2024 — ESET Research ontdekte een nog onbekende kwetsbaarheid, CVE-2024-9680, in Mozilla-producten die ‘in the wild’ werd gebruikt door de aan Rusland gelinkte APT-groep RomCom. Analyses onthulden ook in Windows een zero-day-kwetsbaarheid: een privilege-escalatie-bug, nu toegewezen aan CVE-2024-49039. Bij een succesvolle aanval kan een aanvaller als een slachtoffer een webpagina bezoekt met deze exploit willekeurige code uitvoeren – zonder dat er interactie van de gebruiker nodig is (zero click). Dit leidde dan tot de installatie van RomCom’s backdoor op het toestel van het slachtoffer. De gebruikte backdoor kan opdrachten uitvoeren en extra modules downloaden naar het toestel van het slachtoffer. De Mozilla-gerelateerde kwetsbaarheid die op 8 oktober door ESET Research werd ontdekt, heeft een CVSS-score van 9,8 op 10. In 2024 sloeg RomCom toe in Oekraïne, andere Europese landen en de VS. Volgens ESET telemetrie bevonden zich tussen 10 oktober 2024 en 4 november 2024 de potentiële slachtoffers die websites bezochten met de exploit vooral in Europa en Noord-Amerika.
Op 8 oktober 2024 ontdekten ESET-onderzoekers kwetsbaarheid CVE-2024-9680. Het is een ‘use-after-free’-bug in de animatie-tijdlijnfunctie van Firefox. Mozilla patchte de kwetsbaarheid op 9 oktober 2024. Verdere analyse onthulde een zero-day-kwetsbaarheid in Windows: een privilege-escalatie-bug, nu toegewezen aan CVE 2024 49039, die code buiten de sandbox van Firefox laat draaien. Microsoft patchte op 12 november 2024 deze tweede kwetsbaarheid.
De kwetsbaarheid CVE-2024-9680 die op 8 oktober werd ontdekt, maakte het mogelijk dat kwetsbare versies van Firefox, Thunderbird en de Tor Browser code uitvoerden in de beperkte context van de browser. Gekoppeld aan CVE-2024-49039, de tot dan nog onbekende kwetsbaarheid in Windows die een CVSS-score van 8,8 heeft, kan willekeurige code worden uitgevoerd in de context van de ingelogde gebruiker. Door de twee zero-day-kwetsbaarheden aan elkaar te koppelen, werd RomCom voorzien van een exploit die geen interactie van de gebruiker vereist. Dit niveau van verfijning toont het doel van de dreigingsactor om heimelijke mogelijkheden te hebben of te ontwikkelen. Bovendien dook in succesvolle exploitatiepogingen de RomCom-backdoor op, wat doet denken aan een uitgebreide campagne.
RomCom (of Storm-0978, Tropical Scorpius en UNC2596) is een aan Rusland gelinkte groep die zowel opportunistische campagnes tegen geselecteerde verticale bedrijfssectoren als gerichte spionageoperaties uitvoert. De focus van de groep is verschoven naar spionage die inlichtingen verzamelt, in parallel met de meer conventionele cyber criminele operaties. In 2024 ontdekte ESET cyber-spionage- en cyber-criminele operaties van RomCom tegen overheidsinstanties, defensie en energiesectoren in Oekraïne, de farmaceutische en verzekeringssector in de VS, de juridische sector in Duitsland en overheidsinstanties in Europa.
“De compromisketen bestaat uit een nepwebsite die het potentiële slachtoffer doorverwijst naar de server die de exploit host. Als de exploit slaagt, wordt er een shellcode uitgevoerd die de RomCom-backdoor downloadt en uitvoert. We weten niet hoe de link naar de nepwebsite wordt verspreid, maar als de pagina bereikt wordt met een kwetsbare browser, wordt een payload gedropt en uitgevoerd op de computer van het slachtoffer zonder dat er interactie van de gebruiker nodig is”, zegt ESET-onderzoeker Damien Schaeffer, die beide kwetsbaarheden ontdekte. “We willen het team bij Mozilla bedanken voor hun zeer responsieve aanpak en indrukwekkende werkethiek om binnen een dag een patch uit te brengen”, zegt hij nog. Elke kwetsbaarheid werd respectievelijk door Mozilla en Microsoft gepacht.
Het is minstens de tweede keer dat RomCom betrapt werd op het gebruiken van een significante zero-day kwetsbaarheid ‘in the wild’, na het misbruik van Microsoft Word in juni 2023, benoemd als CVE-2023-36884.
Voor een meer gedetailleerde en technische analyse van de ontdekte kwetsbaarheden, lees de nieuwste blog van ESET Research “RomCom exploits Firefox and Windows zero days in the wild” op www.welivesecurity.com . Volg ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
Read more