Najnowsze luki zero-day w Firefoksie i Windowsie wykorzystywane przez rosyjskich hakerów do wdrażania backdoorów w firmach

Kilka słów o grupie RomCom

RomCom (znany również jako Storm-0978, Tropical Scorpius lub UNC2596) to powiązany z Rosją podmiot cybernetyczny, który stanowi poważne zagrożenie. Grupa ta angażuje się zarówno w oportunistyczne kampanie ataków wymierzonych w wybrane cele biznesowe, jak i w zaawansowane operacje szpiegowskie, często wykorzystując zaawansowane techniki i zerowe luki bezpieczeństwa, aby uzyskać dostęp do wrażliwych danych.

„To co najmniej drugi raz, kiedy RomCom został przyłapany na wykorzystywaniu poważnej luki typu zero-day w środowisku naturalnym, po nadużyciu CVE-2023-36884 za pośrednictwem programu Microsoft Word w czerwcu 2023 r.”, poinformowała firma ESET, która monitoruje i analizuje aktywność grupy.

„W 2024 r. ESET zidentyfikował operacje cybernetycznego szpiegostwa i cyberprzestępczości, które RomCom przeprowadził przeciwko szerokiemu wachlarzowi celów, w tym podmiotom rządowym oraz firmom z sektorów obrony i energetyki na Ukrainie, sektorom farmaceutycznym i ubezpieczeniowym w USA, sektorem prawnym w Niemczech, a także podmiotom rządowym w różnych krajach Europy” – dodała firma.

Ataki „zero click” na światowe firmy

RomCom stała za atakami wykorzystującymi dwie poważne luki zero-day: CVE-2024-9680 (pisaliśmy o niej tutaj), która umożliwia zdalne wykonanie kodu w przeglądarce Firefox, oraz CVE-2024-49039, która pozwala na podniesienie uprawnień w harmonogramie zadań systemu Windows (pisaliśmy o niej tutaj). Obie te luki zostały odkryte na początku tego roku.

„Połączenie tych dwóch luk zero-day dało RomCom możliwość przeprowadzenia ataków, które nie wymagały interakcji użytkownika” – informowali badacze ESET.

CVE-2024-9680 pozwalała atakującym na wykonanie kodu w ograniczonym kontekście przeglądarki, podczas gdy CVE-2024-49039 umożliwiała uruchomienie tego kodu poza piaskownicą Firefoksa. Co istotne, cały ten proces odbywał się bez jakiejkolwiek interakcji ze strony ofiar, co sprawiło, że ataki były wyjątkowo trudne do wykrycia i obrony.

Jak dochodziło do tworzenia backdoorów?

Badacz ESET Damien Schaeffer, który odkrył obie luki, wyjaśnił, że łańcuch ataków wykorzystywał fałszywą witrynę, przekierowującą potencjalne ofiary na serwer hostujący exploit typu zero-click. Gdy exploit został uruchomiony, wykonywany był kod powłoki, który pobierał i uruchamiał backdoor RomCom.

Schaeffer dodał, że nie udało się ustalić, w jaki sposób rozpowszechniano link do fałszywej witryny.

„Z naszych danych telemetrycznych wynika, że między 10 października a 4 listopada 2024 roku potencjalne ofiary, które odwiedziły strony hostujące exploit, pochodziły głównie z Europy i Ameryki Północnej” – podała firma ESET, zauważając, że kampania wydaje się szeroko rozpowszechniona.

Tylne drzwi RomCom pozwalają na wykonywanie poleceń oraz pobieranie i uruchamianie dodatkowych modułów na komputerze ofiary.

Schaeffer odkrył lukę w zabezpieczeniach przeglądarki 8 października i natychmiast zgłosił ją firmie Mozilla, która w ciągu 25 godzin wydała poprawkę dla Firefoksa oraz wersji Firefox ESR. Dwa dni później opublikowano także poprawkę dla klienta pocztowego Thunderbird, chociaż firma zaznaczyła, że luka CVE-2024-9680 nie może być wykorzystana przez e-mail w Thunderbirdzie, ponieważ skrypty są wyłączone podczas odczytywania wiadomości.

Wkrótce po tym projekt Tor wydał poprawki dla różnych wersji Tor Browser i Tails, które używają zmodyfikowanej wersji przeglądarki Tor Browser.

12 listopada Microsoft wydał poprawkę dla luki CVE-2024-49039.

Firma ESET opublikowała szczegółową analizę przyczyn źródłowych obu luk, analizę techniczną kodu powłoki oraz wskaźniki zagrożenia związane z tą kampanią. Polecamy lekturę tutaj.

Zalecenia związane z RomCom i innymi atakami tego typu

Przestrzeganie poniższych zasad bezpieczeństwa pozwoli na skuteczną ochronę przed zagrożeniami związanymi z wykorzystaniem luk zero-day, takich jak CVE-2024-9680 i CVE-2024-49039, oraz pomoże w minimalizacji ryzyka ataków prowadzonych przez grupę RomCom.

Zalecamy podjęcie kilku kluczowych działań ochronnych:

1. Aktualizuj oprogramowanie

• Firefox: Regularnie aktualizuj przeglądarkę Firefox do najnowszej wersji, aby zabezpieczyć się przed luką CVE-2024-9680. Pamiętaj, że poprawki są często wydawane w krótkim czasie po wykryciu nowych zagrożeń.
• Thunderbird: Choć ta konkretna luka nie jest wykorzystywana w Thunderbirdzie, warto utrzymywać także ten program w najnowszej wersji, aby zabezpieczyć się przed innymi potencjalnymi zagrożeniami.
• Tor Browser i Tails: Upewnij się, że korzystasz z najnowszych wersji Tor Browser i Tails, które zawierają poprawki dla wykrytej luki CVE-2024-9680.
• Microsoft Windows: Zainstaluj najnowsze poprawki systemowe, szczególnie dla luki CVE-2024-49039, która dotyczy podnoszenia uprawnień w harmonogramie zadań systemu Windows. Regularne aktualizacje systemu operacyjnego są kluczowe dla utrzymania bezpieczeństwa.

2. Ostrożność w Internecie

• Unikaj podejrzanych stron: Ze względu na wykorzystanie fałszywych witryn w kampaniach RomCom, bądź ostrożny przy klikaniu linków, szczególnie w wiadomościach e-mail czy na forach internetowych. Jeśli coś wydaje się podejrzane, nie odwiedzaj takich stron.
• Sprawdź certyfikaty SSL: Zawsze sprawdzaj, czy odwiedzana strona korzysta z bezpiecznego połączenia (https://) i czy certyfikat SSL jest prawidłowy. Fałszywe strony często używają nieprawidłowych certyfikatów.

3. Wykorzystanie narzędzi zabezpieczających

• Zainstaluj oprogramowanie antywirusowe i zabezpieczające: Używaj oprogramowania antywirusowego, które oferuje ochronę przed exploitami i złośliwym oprogramowaniem, takim jak tylne drzwi. Upewnij się, że jest ono zaktualizowane i skonfigurowane do wykrywania nowych zagrożeń.
• Wykorzystaj zapory sieciowe i monitorowanie ruchu: Dobrze skonfigurowana zapora sieciowa i narzędzia do monitorowania ruchu sieciowego mogą pomóc wykrywać nieautoryzowany dostęp do systemu.

4. Zastosowanie polityk bezpieczeństwa w organizacjach

• Zasada najmniejszych uprawnień: W środowiskach korporacyjnych ważne jest, aby użytkownicy mieli minimalny dostęp do systemów i zasobów, których rzeczywiście potrzebują. To ograniczy potencjalne skutki ataków wykorzystujących luki typu zero-day.
• Zabezpieczanie harmonogramu zadań: Użytkownicy powinni być ostrożni z uprawnieniami administratorów, szczególnie w odniesieniu do zarządzania zadaniami systemowymi. Regularne audyty i ograniczanie uprawnień wyłącznie do niezbędnych zadań pomoże zminimalizować ryzyko.

5. Monitorowanie i wykrywanie

• Monitorowanie aktywności na urządzeniach: Regularne monitorowanie aktywności na urządzeniach może pomóc w szybkim wykryciu podejrzanych działań, takich jak nieautoryzowane uruchomienie kodu lub próby uzyskania dostępu do wrażliwych zasobów.
• Analiza logów i wskaźników zagrożenia: Organizacje powinny analizować logi systemowe oraz wskaźniki zagrożenia (IOCs) związane z tą kampanią, aby szybko identyfikować potencjalne incydenty bezpieczeństwa.

6. Zwiększenie świadomości użytkowników

• Szkolenia z zakresu bezpieczeństwa: Użytkownicy powinni być regularnie szkoleni w zakresie rozpoznawania zagrożeń takich jak phishing, złośliwe oprogramowanie czy techniki inżynierii społecznej wykorzystywane do rozprzestrzeniania złośliwego oprogramowania.
• Brak interakcji z podejrzanymi linkami: Zachęcanie użytkowników do nieklikania w podejrzane linki oraz nieotwierania podejrzanych załączników w wiadomościach e-mail jest kluczowe w prewencji przed atakami typu zero-click.

7. Zarządzanie dostępem do zdalnych systemów

Wykorzystanie uwierzytelniania wieloskładnikowego (MFA): Zabezpieczenie dostępu do systemów poprzez MFA utrudnia atakującym uzyskanie dostępu do konta ofiary, nawet jeśli uda im się przejąć część poświadczeń.