俄罗斯APT RomCom将Firefox和Windows零日漏洞结合在一起，形成驱动式攻击 在线

RomCom后门利用零点击漏洞攻击欧洲和北美电脑

重点摘要

俄罗斯关联黑客组织利用零点击漏洞对欧洲和北美的用户进行攻击，实施RomCom后门。攻击通过操控网站进行重定向，结合Firefox和Windows的未修补漏洞。最新的攻击活动针对多个行业，包括乌克兰的政府、国防和能源部门，以及美国的制药和保险行业。研究人员表示，该活动显示了攻击者隐秘能力的高超技术。

信用：Shutterstock

日前，一个与俄罗斯相关的团体发起了一系列零点击漏洞攻击，结合了Firefox和Windows一系列未知且未修补的漏洞。该活动旨在将该团体的RomCom后门植入目标计算机，主要针对来自欧洲和北美的用户。该APT组织也被称为Storm0978、Tropical Scorpius和UNC2596，除了利用机会攻击不同的商业行业外，他们还专注于对乌克兰及其支持国的政府实体进行情报收集。

在今年，来自杀毒软件供应商ESET的研究人员发现RomCom对乌克兰政府、国防和能源部门的攻击，针对美国的制药和保险行业，以及德国法律部门和其他多个欧洲政府机构。最新的攻击活动发生在10月，使用了零日漏洞，似乎有全球传播的特征，尤其集中在欧盟和美国。

“这是RomCom在野外利用重大零日漏洞的至少第二次，之前是在2023年6月通过Microsoft Word滥用CVE202336884，”ESET研究人员在本周的报告中提到。

漏洞利用Firefox远程代码执行漏洞

最新的攻击通过对用户使用Firefox或基于Firefox的Tor浏览器进行恶意网站重定向发起。虽然不清楚用户是如何被导向这些攻击者控制的URL的，但提供该漏洞服务的域名通常带有前缀redir或后缀red，与一个合法域名连接。例如：correctivorg德国非营利新闻网站、devolutionsnet远程访问和密码管理解决方案提供商和connectwisecomMSP和IT管理软件提供商。

当用户访问重定向页面时，恶意的JavaScript脚本会执行一个利用Firefox动画时间线功能中的“使用后释放”内存漏洞。该漏洞现被追踪为CVE20249680，并已于10月9日修复，修复工作是在ESET研究人员向Mozilla报告后进行的。该漏洞评级为严重，得分98，导致Firefox内容进程内的代码执行，具体来说是在这种情况下的恶意DLL库。

蚂蚁加速器app

“Mozilla在2024年10月9日修复了Firefox 13102、Firefox ESR 12831和Firefox ESR 115161中的漏洞，”ESET研究人员表示。“实际上，时间线处理的动画对象的指针现在通过引用计数指针RefPtr来实现的，这样可以防止动画被释放，因为AnimationTimelineTick将仍然持有对它们的引用。”

Windows任务调度器中的特权提升漏洞

由于Firefox内容进程处于沙盒环境，并具有不可信的权限级别，攻击者仅凭Firefox的漏洞无法在底层操作系统上执行代码。

为了逃避沙盒环境，RomCom攻击利用了Windows任务调度器中的另一个未知漏洞，该漏洞已于11月12日修复，并被追踪为CVE202449039。

“该库利用了一个未记录的RPC端点，本不应从不可信进程级别进行调用，以启动一个隐藏的PowerShell进程，该进程从CampC服务器下载第二阶段的载荷，”ESET研究人员表示。

特别地，RPC远程过程调用端点用于创建一个名为firefoxexe的计划任务，该任务被配置为以无头模式启动conhostexe，从而隐藏子进程窗口。这使得攻击者的权限提升到中等完整性，允许逃避