MÜNCHEN (IT BOLTWISE) – In einer alarmierenden Entwicklung der Cybersicherheit hat die russische Hackergruppe RomCom zwei Zero-Day-Schwachstellen in Mozilla Firefox und Microsoft Windows ausgenutzt, um ihre Malware auf den Computern der Opfer zu installieren.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Bedrohungsakteure, die unter dem Namen RomCom bekannt sind, haben kürzlich zwei Zero-Day-Schwachstellen ausgenutzt, um ihre gleichnamige Backdoor auf den Systemen der Opfer zu installieren. Diese Schwachstellen betreffen Mozilla Firefox und Microsoft Windows und ermöglichen es Angreifern, ohne jegliche Benutzerinteraktion beliebigen Code auszuführen. Laut einem Bericht von ESET, der mit Branchenexperten geteilt wurde, führt ein erfolgreicher Angriff zur Installation der RomCom-Backdoor auf dem Computer des Opfers.
Die betroffenen Schwachstellen sind CVE-2024-9680, eine Use-After-Free-Schwachstelle in der Animationskomponente von Firefox, und CVE-2024-49039, eine Privilegieneskalations-Schwachstelle im Windows Task Scheduler. Beide Schwachstellen wurden inzwischen von den jeweiligen Unternehmen gepatcht. RomCom, auch bekannt unter Namen wie Storm-0978 und Tropical Scorpius, ist seit mindestens 2022 für Cyberkriminalität und Spionage bekannt.
Die Angriffe zeichnen sich durch den Einsatz des RomCom RAT aus, einer Malware, die in der Lage ist, Befehle auszuführen und zusätzliche Module auf das System des Opfers herunterzuladen. Die Angriffskette, die von einem slowakischen Cybersicherheitsunternehmen entdeckt wurde, nutzte eine gefälschte Website, um potenzielle Opfer auf einen Server umzuleiten, der die bösartige Nutzlast hostet. Diese Nutzlast kombiniert beide Schwachstellen, um Code auszuführen und das RomCom RAT zu installieren.
Es ist unklar, wie die Links zur gefälschten Website verbreitet werden, aber es wurde festgestellt, dass der Exploit ausgelöst wird, wenn die Seite mit einer anfälligen Version des Firefox-Browsers besucht wird. ESET erklärt, dass der Exploit Shellcode in einem Inhaltsprozess ausführt, der aus zwei Teilen besteht: Der erste Teil ruft den zweiten aus dem Speicher ab und markiert die Seiten als ausführbar, während der zweite Teil einen PE-Loader implementiert.
Das Ergebnis ist ein Sandbox-Ausbruch für Firefox, der letztendlich zum Herunterladen und Ausführen des RomCom RAT auf dem kompromittierten System führt. Dies wird durch eine eingebettete Bibliothek erreicht, die den Windows Task Scheduler ausnutzt, um erhöhte Privilegien zu erlangen. Telemetriedaten zeigen, dass die meisten Opfer in Europa und Nordamerika ansässig sind.
Die Tatsache, dass CVE-2024-49039 unabhängig von Googles Threat Analysis Group entdeckt und an Microsoft gemeldet wurde, deutet darauf hin, dass mehr als ein Bedrohungsakteur diese Schwachstelle als Zero-Day ausgenutzt haben könnte. Dies ist das zweite Mal, dass RomCom beim Ausnutzen einer Zero-Day-Schwachstelle in freier Wildbahn erwischt wurde, nachdem im Juni 2023 CVE-2023-36884 über Microsoft Word missbraucht wurde.
Das Verketten von zwei Zero-Day-Schwachstellen hat RomCom mit einem Exploit ausgestattet, der keine Benutzerinteraktion erfordert. Diese Raffinesse zeigt den Willen und die Mittel der Bedrohungsakteure, heimliche Fähigkeiten zu erlangen oder zu entwickeln.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.