• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai
    • Infrastrutture critiche: la sicurezza è un imperativo
    • IA e Cybersecurity governano le strategie di investimento aziendali
    • Twin4Cyber e Maticmind alla Camera per parlare di cybercrime
    • Cybersecurity: ecco perché affidarsi a operatori italiani
    • Secure Workload Access di CyberArk protegge le identità a 360°
    • NIS2 e infrastrutture critiche: 4 passaggi da fare per essere pronti
    • Attacchi informatici: un 2024 all’insegna di ransomware e IA
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    BitMAT | Speciale Sicurezza 360×365
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    BitMAT | Speciale Sicurezza 360×365
    Sei qui:Home»Speciale Sicurezza»Attualità»RomCom: il gruppo APT filo-russo scovato da ESET
    Attualità

    RomCom: il gruppo APT filo-russo scovato da ESET

    By Redazione BitMAT2 Dicembre 2024Updated:2 Dicembre 20243 Mins Read
    Facebook Twitter LinkedIn Tumblr Reddit Telegram WhatsApp Email

    A causa delle vulnerabilità zero-day e zero-click in Mozilla e Windows, RomCom ha colpito numerosi utenti in Europa e Nord America. Ogni vulnerabilità è stata corretta

    RomCom

    I ricercatori di ESET, specialista europeo globale operante nel mercato della cybersecurity, hanno individuato una vulnerabilità precedentemente sconosciuta, CVE-2024-9680, nei prodotti Mozilla, sfruttata dal gruppo APT RomCom, allineato alla Russia. Ulteriori analisi hanno portato alla scoperta di un’altra vulnerabilità zero-day in Windows, un bug di privilege escalation ora identificato come CVE-2024-49039. In un attacco riuscito, se la vittima visita una pagina web contenente l’exploit, l’aggressore può eseguire codice arbitrario senza alcuna interazione dell’utente (zero-click), portando all’installazione della backdoor RomCom sul dispositivo della vittima. La backdoor consente di eseguire comandi e scaricare moduli aggiuntivi sulla macchina. La vulnerabilità critica legata a Mozilla, scoperta da ESET Research l’8 ottobre, ha un punteggio Common Vulnerability Scoring System (CVSS) di 9.8 su una scala da 0 a 10. Nel 2024, RomCom ha colpito in Ucraina, in altri Paesi europei e negli Stati Uniti. Secondo la telemetria di ESET, tra il 10 ottobre e il 4 novembre 2024, le potenziali vittime che hanno visitato i siti che ospitavano l’exploit erano per lo più situate in Europa e Nord America.

    La scoperta di ESET

    L’8 ottobre 2024, i ricercatori di ESET hanno scoperto la vulnerabilità CVE-2024-9680, un bug use-after-free nella funzionalità di animazione della timeline di Firefox. Mozilla ha corretto la vulnerabilità il 9 ottobre 2024. Ulteriori analisi hanno portato alla scoperta di un’altra vulnerabilità zero-day in Windows: un bug di privilege escalation identificato come CVE-2024-49039, che consente l’esecuzione di codice al di fuori della sandbox di Firefox. Microsoft ha rilasciato una patch per questa seconda vulnerabilità il 12 novembre 2024.

    La vulnerabilità CVE-2024-9680 consente alle versioni vulnerabili di Firefox, Thunderbird e Tor Browser di eseguire codice nel contesto ristretto del browser. In combinazione con la vulnerabilità CVE-2024-49039 di Windows, che ha un punteggio CVSS di 8.8, è possibile eseguire codice arbitrario nel contesto dell’utente connesso. L’utilizzo congiunto delle due vulnerabilità zero-day ha permesso a RomCom di sviluppare un exploit che non richiede alcuna interazione dell’utente. Questo livello di sofisticazione dimostra sia l’intento che le capacità del gruppo nello sviluppo di strumenti non tracciabili. Gli attacchi riusciti hanno portato all’installazione di una backdoor RomCom, in quella che appare come una campagna su larga scala.

    Gli obiettivi di RomCom

    RomCom (noto anche come Storm-0978, Tropical Scorpius o UNC2596) è un gruppo filo-russo che conduce sia campagne occasionali contro settori specifici sia operazioni mirate di spionaggio. L’attenzione del gruppo si è concentrata su operazioni di spionaggio e raccolta di informazioni, parallelamente ad attività di criminalità informatica più convenzionali. Nel 2024, ESET ha rilevato operazioni di cyberspionaggio e crimine informatico condotte da RomCom contro enti governativi, il settore della difesa e quello energetico in Ucraina, il settore farmaceutico e assicurativo negli Stati Uniti, il settore legale in Germania ed enti governativi in Europa.

    Ogni vulnerabilità è stata corretta rispettivamente da Mozilla e Microsoft.

    Si tratta almeno della seconda volta in cui RomCom è stato colto a sfruttare una vulnerabilità zero-day di rilievo, dopo lo sfruttamento di CVE-2023-36884 tramite Microsoft Word nel giugno 2023.

    Dichiarazioni

    “La catena di compromissione prevede un sito web falso che reindirizza la potenziale vittima al server che ospita l’exploit. Se l’exploit ha successo, viene eseguito uno shellcode che scarica ed esegue la backdoor RomCom. Non sappiamo come venga distribuito il link al sito web contraffatto, ma se la pagina viene raggiunta tramite un browser vulnerabile, un payload viene scaricato ed eseguito senza alcuna interazione dell’utente”, afferma Damien Schaeffer, ricercatore di ESET che ha scoperto entrambe le vulnerabilità. “Vorremmo ringraziare il team di Mozilla per la grande reattività e per il notevole impegno nel rilasciare una patch in meno di un giorno”.

    Cybersecurity ESET Gruppi APT vulnerabilità
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione BitMAT
    • Website
    • Facebook
    • X (Twitter)

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Tag Cloud
    Acronis Akamai attacchi informatici Axitea Barracuda Networks Bitdefender Check Point Research Check Point Software Technologies CISO cloud Commvault CyberArk cybercrime Cybersecurity cyber security DDoS ESET F-Secure F5 Networks FireEye Fortinet Hacker Identity Security infrastrutture critiche intelligenza artificiale (AI) Iot Kaspersky malware minacce informatiche palo alto networks phishing Proofpoint ransomware Security SentinelOne sicurezza sicurezza informatica Sicurezza It SOC Stormshield Trend Micro Vectra AI WatchGuard Technologies Zero Trust Zscaler
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    Navigazione
    • Attualità
    • Opinioni
    • Ricerche
    • Soluzioni
    Ultime

    Attacchi web a +33% e API obiettivo numero uno. L’analisi di Akamai

    23 Aprile 2025

    Infrastrutture critiche: la sicurezza è un imperativo

    18 Aprile 2025

    IA e Cybersecurity governano le strategie di investimento aziendali

    18 Aprile 2025
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.