E’ stata individuata di recente da ESET una vulnerabilità precedentemente sconosciuta: CVE-2024-9680, nei prodotti Mozilla, sfruttata dal gruppo APT RomCom, allineato alla Russia. Ulteriori analisi hanno portato alla scoperta di un’altra vulnerabilità zero-day in Windows, un bug di privilege escalation ora identificato come CVE-2024-49039. In un attacco riuscito, se la vittima visita una pagina web contenente l’exploit, l’aggressore può eseguire codice arbitrario senza alcuna interazione dell’utente (zero-click), portando all’installazione della backdoor RomCom sul dispositivo della vittima. La backdoor consente di eseguire comandi e scaricare moduli aggiuntivi sulla macchina. La vulnerabilità critica legata a Mozilla, scoperta da ESET Research l’8 ottobre, ha un punteggio Common Vulnerability Scoring System (CVSS) di 9.8 su una scala da 0 a 10. Nel 2024, RomCom ha colpito in Ucraina, in altri Paesi europei e negli Stati Uniti. Secondo la telemetria di ESET, tra il 10 ottobre e il 4 novembre 2024, le potenziali vittime che hanno visitato i siti che ospitavano l’exploit erano per lo più situate in Europa e Nord America.
La scoperta delle vulnerabilità sotto attacco
L’8 ottobre 2024, i ricercatori di ESET hanno scoperto la vulnerabilità CVE-2024-9680, un bug use-after-free nella funzionalità di animazione della timeline di Firefox. Mozilla ha corretto la vulnerabilità il 9 ottobre 2024. Ulteriori analisi hanno portato alla scoperta di un’altra vulnerabilità zero-day in Windows: un bug di privilege escalation identificato come CVE-2024-49039, che consente l’esecuzione di codice al di fuori della sandbox di Firefox. Microsoft ha rilasciato una patch per questa seconda vulnerabilità il 12 novembre 2024.
La vulnerabilità CVE-2024-9680 consente alle versioni vulnerabili di Firefox, Thunderbird e Tor Browser di eseguire codice nel contesto ristretto del browser. In combinazione con la vulnerabilità CVE-2024-49039 di Windows, che ha un punteggio CVSS di 8.8, è possibile eseguire codice arbitrario nel contesto dell’utente connesso. L’utilizzo congiunto delle due vulnerabilità zero-day ha permesso a RomCom di sviluppare un exploit che non richiede alcuna interazione dell’utente. Questo livello di sofisticazione dimostra sia l’intento che le capacità del gruppo nello sviluppo di strumenti non tracciabili. Gli attacchi riusciti hanno portato all’installazione di una backdoor RomCom, in quella che appare come una campagna su larga scala.
RomCom o Tropical Scorpius, l’autore malefico
RomCom (noto anche come Storm-0978, Tropical Scorpius o UNC2596) è un gruppo filo-russo che conduce sia campagne occasionali contro settori specifici sia operazioni mirate di spionaggio. L’attenzione del gruppo si è concentrata su operazioni di spionaggio e raccolta di informazioni, parallelamente ad attività di criminalità informatica più convenzionali. Nel 2024, ESET ha rilevato operazioni di cyberspionaggio e crimine informatico condotte da RomCom contro enti governativi, il settore della difesa e quello energetico in Ucraina, il settore farmaceutico e assicurativo negli Stati Uniti, il settore legale in Germania ed enti governativi in Europa.
“La catena di compromissione prevede un sito web falso che reindirizza la potenziale vittima al server che ospita l’exploit. Se l’exploit ha successo, viene eseguito uno shellcode che scarica ed esegue la backdoor RomCom. Non sappiamo come venga distribuito il link al sito web contraffatto, ma se la pagina viene raggiunta tramite un browser vulnerabile, un payload viene scaricato ed eseguito senza alcuna interazione dell’utente,” afferma Damien Schaeffer, ricercatore di ESET che ha scoperto entrambe le vulnerabilità. “Vorremmo ringraziare il team di Mozilla per la grande reattività e per il notevole impegno nel rilasciare una patch in meno di un giorno,” aggiunge. Ogni vulnerabilità è stata corretta rispettivamente da Mozilla e Microsoft.
Si tratta almeno della seconda volta in cui RomCom è stato colto a sfruttare una vulnerabilità zero-day di rilievo, dopo lo sfruttamento di CVE-2023-36884 tramite Microsoft Word nel giugno 2023.