10 月の短期間、ロシアのハッカーは Firefox または Tor を使用して世界中の誰に対しても任意のコードを実行することができました。
10 月 8 日、ESET の研究者は、ロシアの高度永続的脅威 (APT) によって管理されているサーバー上で悪意のあるファイルを初めて発見しました。 ロムコム (別名 Storm-0978、熱帯さそり座、UNC2596)。これらのファイルは、わずか 5 日前の 10 月 3 日にオンライン上に公開されていました。分析の結果、これらのファイルは 2 つのゼロデイ脆弱性: 1 つは Mozilla ソフトウェアに影響し、もう 1 つは Windows に影響します。その結果、クリックを必要とせずに、感染した Web サイトにアクセスしたすべての人に RomCom バックドアを広めるエクスプロイトが実行されました。
幸いなことに、両方の問題はすぐに解決されました。 ESETのマルウェア研究者であるロマン・デュモン氏は、「攻撃者がコンピュータを侵害しようとする隙は非常にわずかしかなかった」と説明する。 「はい、ゼロデイ脆弱性はありました。それでも、非常に早くパッチが適用されました。」
Dark Reading は、この話について Mozilla にコメントを求めました。
Firefox と Tor のゼロデイ
2 つの脆弱性のうちの 1 つ目である CVE-2024-9680 は、Firefox アニメーション タイムライン (Web サイトとのユーザー インタラクションに基づいてアニメーションがどのように再生されるかを処理するブラウザー メカニズム) における解放後の使用機会です。攻撃者に任意のコマンドを実行させる能力により、共通脆弱性評価システム (CVSS) から「緊急」の 9.8 という評価を獲得しました。
重要なのは、CVE-2024-9680 は Firefox 以外にも影響を及ぼします。 Mozilla のオープンソース電子メール クライアント「Thunderbird」や、Firefox の延長サポート リリース (ESR) ブラウザの修正版から構築された超秘密主義の Tor ブラウザも影響を受けます。
10 月、RomCom は、被害者の操作を必要とせずに即座に CVE-2024-9680 をトリガーする特別に細工された Web サイトを展開しました。被害者は無意識のうちにダウンロードしてしまう RomCom バックドア RomCom が管理するサーバーからアクセスすると、最初からアクセスしていると思っていた元の Web サイトにすぐにリダイレクトされます。
これらの悪意のあるドメインは、ConnectWise および Devolutions IT サービス プラットフォーム、およびドイツの調査報道のための非営利ニュースルームである Correctiv に関連する実際のサイトを模倣するために作成されました。これらの組織が本質的に政治的かつ経済的であることは、常に日和見的なサイバー犯罪を行ってきた RomCom に詳しい人にとっては驚くべきことではないかもしれませんが、最近ではさらに次のように付け加えています。 政治的動機に基づくスパイ行為 その議題に。 2024年の活動には、米国の保険業界や製薬業界だけでなく、ウクライナの国防、エネルギー、政府部門に対するキャンペーンも含まれている。
RomCom がどのようなソーシャル エンジニアリングの手段によってこれらの悪意のあるサイトを広めたのかは不明です。
RomCom のキャンペーンについて私たちが知っていること
しかし、RomCom は被害者のブラウザでコードを実行するだけでは満足せず、2 番目の脆弱性も利用しました。 CVE-2024-49039。 Windows タスク スケジューラにあるこの重大度 8.8 CVSS 評価の高重大度のバグにより、低レベル ユーザーが意図せずアクセスできる文書化されていないリモート プロシージャ コール (RPC) エンドポイントのおかげで、特権昇格が可能になります。このケースでは、RomCom は CVE-2024-49039 を使用してブラウザ サンドボックスを脱出し、被害者のマシン全体に侵入しました。
このような強力なエクスプロイト チェーンによって生じた可能性のある被害、そして先月誰がその影響を受けたのかは依然として不明です。現時点で明らかなことは、圧倒的多数の標的が北米とヨーロッパ、特にチェコ共和国、フランス、ドイツ、ポーランド、スペイン、イタリア、米国にあり、加えてニュージーランドと仏領ギアナにも散在する犠牲者がいることだ。
また、注目すべきことに、ESET によって追跡された被害者の中に、Tor を介して侵害された人はいませんでした。 「Tor には Firefox とは異なる事前定義された設定がいくつかあるため、機能しなかった可能性があります」と ESET の上級マルウェア研究者であるダミアン シェーファー氏は推測しています。同氏はまた、RomCom の主なターゲットは企業であり、Tor をほとんど使用していないように見えるとも指摘しています。
その後、CVE-2024-9680 と CVE-2024-49039 の両方にパッチが適用されました。前者は Mozilla に問題が通知されてからわずか 25 時間後の 10 月 9 日に、後者は 11 月 12 日に修正されました。
「今では、問題は多かれ少なかれ解決されていると思います」とシェーファー氏は言う。それでも、どの組織でも、「それはその組織のポリシーによって異なります。適切なパッチ管理があれば、これは 1 日かそこらで修正されるでしょう。しかし、問題を修正するかどうかは人次第です。」
