Автори:

Юлія Поліковська

Компанія ESET виявила нові вразливості у продуктах Mozilla та Windows, які використовувалися під час атак групи кіберзлочинців RomCom, пов’язаної з Росією. Відповідно до телеметрії, з 10 жовтня до 4 листопада 2024 року потенційні жертви зафіксовані переважно в Європі та Північній Америці. Крім цього, у 2024 році група націлювалася на Україну, США та європейські країни, повідомила компанія.

Дослідники кібербезпеки ESET знайшли докази того, що хакери RomCom поєднали використання раніше невідомих вразливостей нульового дня у Firefox та Windows, щоб отримувати можливість дистанційно запроваджувати зловмисне програмне забезпечення на цільові комп’ютери поза увагою користувача.

Карта потенційних жертв хакерських атак RomCom / ESET

Кіберзлочинна група RomCom, також відома як Storm-0978, Tropical Scorpius або UNC259, пов’язана з Росією та проводить як атаки на окремі галузі, так і цілеспрямовані шпигунські операції. У 2024 році ESET виявила кібершпигунську та кіберзлочинну активність RomCom, націлену на державні установи, оборонний та енергетичний сектори в Україні, фармацевтичний і страховий сектори у США, юридичний сектор Німеччини та державні організації в Європі. Група відома своєю агресивною позицією проти партнерів, які підтримують Україну після військового вторгнення Росії.

«Ланцюг компрометації складається з підробленого вебсайту, який перенаправляє потенційну жертву на сервер з експлойтом, і якщо він спрацює, тоді виконується шелл-код, який завантажує та запускає бекдор RomCom. Хоча невідомо, як розповсюджується посилання на фальшивий вебсайт, однак, якщо сторінка відкривається за допомогою уразливого браузера, компонент завантажується та виконується на комп’ютері жертви без жодної взаємодії з користувачем», — прокоментував дослідник ESET Демієн Шеффер.

Mozilla виправила вразливість у Firefox 9 жовтня, через день після того, як ESET попередила виробника браузера. Microsoft виправила вразливість у Windows 12 листопада.

Кількість потенційних жертв ширшої хакерської кампанії RomCom варіюється від однієї жертви на країну до 250 жертв, причому більшість цілей розташовані в Європі та Північній Америці, розповів Демієн Шеффер у коментарі виданню TechCrunch.

«Для запобігання подібним атакам та своєчасного виявлення будь-якої шкідливої активності варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET Protect Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR), а також управління вразливостями та їх виправлення», — повідомили в компанії ESET.

Фото: Firefox / reddit