RomCom maakt gebruik van Zero-Day Firefox- en Windows-fouten in geavanceerde cyberaanvallen

De aan Rusland verbonden dreigingsacteur, bekend als RomCom is in verband gebracht met de zero-day-exploitatie van twee beveiligingsfouten, één in Mozilla Firefox en de andere in Microsoft Windows, als onderdeel van aanvallen die zijn ontworpen om de gelijknamige achterdeur op slachtoffersystemen te plaatsen.

“Als een slachtoffer bij een succesvolle aanval een webpagina bezoekt die de exploit bevat, kan een tegenstander willekeurige code uitvoeren – zonder dat enige gebruikersinteractie vereist is (zero click) – wat in dit geval leidde tot de installatie van de achterdeur van RomCom op de computer van het slachtoffer. ‘, zegt ESET in een rapport gedeeld met The Hacker News.

De betreffende kwetsbaarheden worden hieronder vermeld:

  • CVE-2024-9680 (CVSS-score: 9,8) – Een use-after-free kwetsbaarheid in de animatiecomponent van Firefox (gepatcht door Mozilla in oktober 2024)
  • CVE-2024-49039 (CVSS-score: 8,8) – Een beveiligingslek met betrekking tot escalatie van bevoegdheden in Windows Task Scheduler (gepatcht door Microsoft in november 2024)

RomCom, ook bekend als Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 en Void Rabisu, heeft een staat van dienst op het gebied van het uitvoeren van zowel cybercriminaliteit als spionageoperaties sinds minstens 2022.

Deze aanvallen vallen op door de inzet van RomCom RAT, een actief onderhouden malware die opdrachten kan uitvoeren en extra modules naar de machine van het slachtoffer kan downloaden.

De aanvalsketen die door het Slowaakse cyberbeveiligingsbedrijf werd ontdekt, omvatte het gebruik van een nepwebsite (economistjournal(.)cloud) die verantwoordelijk is voor het omleiden van potentiële slachtoffers naar een server (redjournal(.)cloud) die de kwaadaardige lading host die op zijn beurt beide de gebreken om code-uitvoering te bereiken en de RomCom RAT te laten vallen.

Zero-Day Firefox- en Windows-fouten

Het is momenteel niet bekend hoe links naar de nepwebsite worden verspreid, maar er is vastgesteld dat de exploit wordt geactiveerd als de site wordt bezocht vanuit een kwetsbare versie van de Firefox-browser.

“Als een slachtoffer met een kwetsbare browser een webpagina bezoekt waarop deze exploit wordt aangeboden, wordt de kwetsbaarheid geactiveerd en wordt shellcode uitgevoerd in een inhoudsproces”, legt ESET uit.

“De shellcode bestaat uit twee delen: de eerste haalt de tweede uit het geheugen en markeert de pagina’s die deze bevatten als uitvoerbaar, terwijl de tweede een PE-lader implementeert op basis van het open-sourceproject Shellcode Reflective DLL Injection (RDI).”

Het resultaat is een sandbox-ontsnapping voor Firefox die uiteindelijk leidt tot het downloaden en uitvoeren van RomCom RAT op het aangetaste systeem. Dit wordt bereikt door middel van een ingebedde bibliotheek (“PocLowIL”) die is ontworpen om het sandbox-inhoudsproces van de browser te doorbreken door de Windows Task Scheduler-fout te bewapenen om verhoogde rechten te verkrijgen.

Uit telemetriegegevens verzameld door ESET blijkt dat een meerderheid van de slachtoffers die de exploit-hostingsite bezochten zich in Europa en Noord-Amerika bevonden.

Het feit dat CVE-2024-49039 onafhankelijk werd ontdekt en gerapporteerd aan Microsoft door de Threat Analysis Group (TAG) van Google suggereert dat meer dan één bedreigingsactoren het mogelijk als een zero-day hebben uitgebuit.

Het is ook vermeldenswaard dat dit de tweede keer is dat RomCom wordt betrapt op misbruik van een zero-day-kwetsbaarheid in het wild, na misbruik van CVE-2023-36884 via Microsoft Word in juni 2023.

“Het aan elkaar koppelen van twee zero-day-kwetsbaarheden bewapende RomCom met een exploit die geen gebruikersinteractie vereist”, aldus ESET. “Dit niveau van verfijning toont de wil en middelen van de dreigingsactor om heimelijke capaciteiten te verwerven of te ontwikkelen.”

Thijs Van der Does