یک حمله پیچیده توسط رومکام از آسیبپذیریهای روز-صفر در فایرفاکس و ویندوز بهرهبرداری کرد. این حمله امکان نصب بدافزار بدون نیاز به کلیک را فراهم کرد و به مهاجمان اجازه داد تا درب پشتی رومکام را مستقر کرده و امنیت قربانیان در اروپا و آمریکای شمالی را به خطر بیندازند. این آسیبپذیریها بهعنوان نقطه محوری این حمله سایبری مورد استفاده قرار گرفتند.
رومکام، یک مهاجم سایبری همسو با روسیه، یک حمله سایبری پیچیده را با سوءاستفاده از دو آسیبپذیری روز-صفر بحرانی – یکی در موزیلا فایرفاکس و دیگری در مایکروسافت ویندوز – راهاندازی کرده است. این نقصها که به عنوان CVE-2024-9680 و CVE-2024-49039 شناخته میشوند، برای انتقال بدافزار درب پشتی رومکام مورد سوءاستفاده قرار گرفتهاند که قادر به اجرای دستورات و دانلود اجزای مخرب است. این حملات خطر فزایندهای را که مهاجمان پیشرفته با هدف قرار دادن نرمافزارهای پرکاربرد ایجاد میکنند، برجسته میسازد.
آسیبپذیری فایرفاکس (CVE-2024-9680)، با نمره بحرانی سیستم امتیازدهی آسیبپذیریهای رایج (CVSS) ۹.۸، یک نقص استفاده-پس-از-آزادسازی در بخش انیمیشن مرورگر است که توسط موزیلا در اکتبر ۲۰۲۴ وصله شد. نقص ویندوز (CVE-2024-49039)، با نمره CVSS ۸.۸، یک آسیبپذیری افزایش امتیاز در زمانبند وظایف است که توسط مایکروسافت در نوامبر ۲۰۲۴ وصله شد. این آسیبپذیریها در کنار هم به مهاجمان اجازه میدهند تا بدون تعامل کاربر، کد دلخواه را اجرا کنند و از دفاعهای امنیتی سنتی عبور کنند.
رومکام، که با نامهای مستعار Storm-0978 و Tropical Scorpius نیز شناخته میشود، از حداقل سال ۲۰۲۲ سابقه عملیات جرایم سایبری و جاسوسی دارد. این زنجیره حمله توسط شرکت امنیت سایبری اسلواکیایی ایسِت (ESET) کشف شد که یک وبسایت جعلی را شناسایی کرد که برای هدایت قربانیان به یک سرور مخرب میزبان محمولههای اکسپلویت طراحی شده بود. هنگام بازدید با استفاده از نسخه آسیبپذیر فایرفاکس، اکسپلویت شلکد را اجرا میکند که بدافزار رومکام را دانلود و نصب میکند. این بدافزار به مهاجمان امکان میدهد سیستمهای به خطر افتاده را کنترل کنند، دستورات را اجرا کنند و با استفاده از نقص زمانبند وظایف ویندوز، سطح دسترسی را افزایش دهند.
قابل توجه است که این حمله شامل زنجیرهسازی هر دو آسیبپذیری است – فرار از سندباکس برای فایرفاکس و افزایش امتیاز در ویندوز – که نشاندهنده سطح بالایی از پیچیدگی است. طبق گفته ایسِت، استفاده از این آسیبپذیریهای روز-صفر، تواناییها و قصد رومکام برای توسعه ابزارهای مخفیانه برای حملات هدفمند را برجسته میکند.
دادههای تلهمتری نشان داد که بیشتر قربانیان در اروپا و آمریکای شمالی قرار داشتند، اگرچه روش دقیق توزیع لینکها به وبسایت جعلی همچنان نامشخص است. این حمله دومین باری است که رومکام از آسیبپذیریهای روز-صفر در محیط واقعی سوءاستفاده میکند، پس از حمله مشابه از طریق مایکروسافت ورد در ژوئن ۲۰۲۳.
کشف CVE-2024-49039 توسط گروه تحلیل تهدید گوگل (TAG) در کنار ایسِت نشان میدهد که ممکن است چندین مهاجم همزمان از این نقص ویندوز سوءاستفاده کرده باشند. چنین حوادثی اهمیت وصله کردن سریع آسیبپذیریها و حفظ شیوههای امنیتی قوی برای کاهش خطرات ناشی از تهدیدات سایبری پیچیده را برجسته میکند.
اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
