Hakerska grupa RomCom wykorzystuje luki typu zero-day w przeglądarce Firefox oraz systemie Windows, aby stworzyć tylną furtkę (backdoor) w systemach ofiar.
Kilka słów o grupie RomCom
RomCom (znany również jako Storm-0978, Tropical Scorpius lub UNC2596) to powiązany z Rosją podmiot cybernetyczny, który stanowi poważne zagrożenie. Grupa ta angażuje się zarówno w oportunistyczne kampanie ataków wymierzonych w wybrane cele biznesowe, jak i w zaawansowane operacje szpiegowskie, często wykorzystując zaawansowane techniki i zerowe luki bezpieczeństwa, aby uzyskać dostęp do wrażliwych danych.
„To co najmniej drugi raz, kiedy RomCom został przyłapany na wykorzystywaniu poważnej luki typu zero-day w środowisku naturalnym, po nadużyciu CVE-2023-36884 za pośrednictwem programu Microsoft Word w czerwcu 2023 r.”, poinformowała firma ESET, która monitoruje i analizuje aktywność grupy.
„W 2024 r. ESET zidentyfikował operacje cybernetycznego szpiegostwa i cyberprzestępczości, które RomCom przeprowadził przeciwko szerokiemu wachlarzowi celów, w tym podmiotom rządowym oraz firmom z sektorów obrony i energetyki na Ukrainie, sektorom farmaceutycznym i ubezpieczeniowym w USA, sektorem prawnym w Niemczech, a także podmiotom rządowym w różnych krajach Europy” – dodała firma.
Ataki „zero click” na światowe firmy
RomCom stała za atakami wykorzystującymi dwie poważne luki zero-day: CVE-2024-9680 (pisaliśmy o niej tutaj), która umożliwia zdalne wykonanie kodu w przeglądarce Firefox, oraz CVE-2024-49039, która pozwala na podniesienie uprawnień w harmonogramie zadań systemu Windows (pisaliśmy o niej tutaj). Obie te luki zostały odkryte na początku tego roku.
„Połączenie tych dwóch luk zero-day dało RomCom możliwość przeprowadzenia ataków, które nie wymagały interakcji użytkownika” – informowali badacze ESET.
CVE-2024-9680 pozwalała atakującym na wykonanie kodu w ograniczonym kontekście przeglądarki, podczas gdy CVE-2024-49039 umożliwiała uruchomienie tego kodu poza piaskownicą Firefoksa. Co istotne, cały ten proces odbywał się bez jakiejkolwiek interakcji ze strony ofiar, co sprawiło, że ataki były wyjątkowo trudne do wykrycia i obrony.
Jak dochodziło do tworzenia backdoorów?
Badacz ESET Damien Schaeffer, który odkrył obie luki, wyjaśnił, że łańcuch ataków wykorzystywał fałszywą witrynę, przekierowującą potencjalne ofiary na serwer hostujący exploit typu zero-click. Gdy exploit został uruchomiony, wykonywany był kod powłoki, który pobierał i uruchamiał backdoor RomCom.
Schaeffer dodał, że nie udało się ustalić, w jaki sposób rozpowszechniano link do fałszywej witryny.
„Z naszych danych telemetrycznych wynika, że między 10 października a 4 listopada 2024 roku potencjalne ofiary, które odwiedziły strony hostujące exploit, pochodziły głównie z Europy i Ameryki Północnej” – podała firma ESET, zauważając, że kampania wydaje się szeroko rozpowszechniona.
Tylne drzwi RomCom pozwalają na wykonywanie poleceń oraz pobieranie i uruchamianie dodatkowych modułów na komputerze ofiary.
Schaeffer odkrył lukę w zabezpieczeniach przeglądarki 8 października i natychmiast zgłosił ją firmie Mozilla, która w ciągu 25 godzin wydała poprawkę dla Firefoksa oraz wersji Firefox ESR. Dwa dni później opublikowano także poprawkę dla klienta pocztowego Thunderbird, chociaż firma zaznaczyła, że luka CVE-2024-9680 nie może być wykorzystana przez e-mail w Thunderbirdzie, ponieważ skrypty są wyłączone podczas odczytywania wiadomości.
Wkrótce po tym projekt Tor wydał poprawki dla różnych wersji Tor Browser i Tails, które używają zmodyfikowanej wersji przeglądarki Tor Browser.
12 listopada Microsoft wydał poprawkę dla luki CVE-2024-49039.
Firma ESET opublikowała szczegółową analizę przyczyn źródłowych obu luk, analizę techniczną kodu powłoki oraz wskaźniki zagrożenia związane z tą kampanią. Polecamy lekturę tutaj.
Zalecenia związane z RomCom i innymi atakami tego typu
Przestrzeganie poniższych zasad bezpieczeństwa pozwoli na skuteczną ochronę przed zagrożeniami związanymi z wykorzystaniem luk zero-day, takich jak CVE-2024-9680 i CVE-2024-49039, oraz pomoże w minimalizacji ryzyka ataków prowadzonych przez grupę RomCom.
Zalecamy podjęcie kilku kluczowych działań ochronnych:
1. Aktualizuj oprogramowanie
- Firefox: Regularnie aktualizuj przeglądarkę Firefox do najnowszej wersji, aby zabezpieczyć się przed luką CVE-2024-9680. Pamiętaj, że poprawki są często wydawane w krótkim czasie po wykryciu nowych zagrożeń.
- Thunderbird: Choć ta konkretna luka nie jest wykorzystywana w Thunderbirdzie, warto utrzymywać także ten program w najnowszej wersji, aby zabezpieczyć się przed innymi potencjalnymi zagrożeniami.
- Tor Browser i Tails: Upewnij się, że korzystasz z najnowszych wersji Tor Browser i Tails, które zawierają poprawki dla wykrytej luki CVE-2024-9680.
- Microsoft Windows: Zainstaluj najnowsze poprawki systemowe, szczególnie dla luki CVE-2024-49039, która dotyczy podnoszenia uprawnień w harmonogramie zadań systemu Windows. Regularne aktualizacje systemu operacyjnego są kluczowe dla utrzymania bezpieczeństwa.
2. Ostrożność w Internecie
- Unikaj podejrzanych stron: Ze względu na wykorzystanie fałszywych witryn w kampaniach RomCom, bądź ostrożny przy klikaniu linków, szczególnie w wiadomościach e-mail czy na forach internetowych. Jeśli coś wydaje się podejrzane, nie odwiedzaj takich stron.
- Sprawdź certyfikaty SSL: Zawsze sprawdzaj, czy odwiedzana strona korzysta z bezpiecznego połączenia (https://) i czy certyfikat SSL jest prawidłowy. Fałszywe strony często używają nieprawidłowych certyfikatów.
3. Wykorzystanie narzędzi zabezpieczających
- Zainstaluj oprogramowanie antywirusowe i zabezpieczające: Używaj oprogramowania antywirusowego, które oferuje ochronę przed exploitami i złośliwym oprogramowaniem, takim jak tylne drzwi. Upewnij się, że jest ono zaktualizowane i skonfigurowane do wykrywania nowych zagrożeń.
- Wykorzystaj zapory sieciowe i monitorowanie ruchu: Dobrze skonfigurowana zapora sieciowa i narzędzia do monitorowania ruchu sieciowego mogą pomóc wykrywać nieautoryzowany dostęp do systemu.
4. Zastosowanie polityk bezpieczeństwa w organizacjach
- Zasada najmniejszych uprawnień: W środowiskach korporacyjnych ważne jest, aby użytkownicy mieli minimalny dostęp do systemów i zasobów, których rzeczywiście potrzebują. To ograniczy potencjalne skutki ataków wykorzystujących luki typu zero-day.
- Zabezpieczanie harmonogramu zadań: Użytkownicy powinni być ostrożni z uprawnieniami administratorów, szczególnie w odniesieniu do zarządzania zadaniami systemowymi. Regularne audyty i ograniczanie uprawnień wyłącznie do niezbędnych zadań pomoże zminimalizować ryzyko.
5. Monitorowanie i wykrywanie
- Monitorowanie aktywności na urządzeniach: Regularne monitorowanie aktywności na urządzeniach może pomóc w szybkim wykryciu podejrzanych działań, takich jak nieautoryzowane uruchomienie kodu lub próby uzyskania dostępu do wrażliwych zasobów.
- Analiza logów i wskaźników zagrożenia: Organizacje powinny analizować logi systemowe oraz wskaźniki zagrożenia (IOCs) związane z tą kampanią, aby szybko identyfikować potencjalne incydenty bezpieczeństwa.
6. Zwiększenie świadomości użytkowników
- Szkolenia z zakresu bezpieczeństwa: Użytkownicy powinni być regularnie szkoleni w zakresie rozpoznawania zagrożeń takich jak phishing, złośliwe oprogramowanie czy techniki inżynierii społecznej wykorzystywane do rozprzestrzeniania złośliwego oprogramowania.
- Brak interakcji z podejrzanymi linkami: Zachęcanie użytkowników do nieklikania w podejrzane linki oraz nieotwierania podejrzanych załączników w wiadomościach e-mail jest kluczowe w prewencji przed atakami typu zero-click.
7. Zarządzanie dostępem do zdalnych systemów
Wykorzystanie uwierzytelniania wieloskładnikowego (MFA): Zabezpieczenie dostępu do systemów poprzez MFA utrudnia atakującym uzyskanie dostępu do konta ofiary, nawet jeśli uda im się przejąć część poświadczeń.