Hacker

ロシアを拠点とするサイバー犯罪グループRomComは、ヨーロッパと北米のFirefoxとTorブラウザのユーザーを標的とした最近の攻撃で、2つのゼロデイ脆弱性を連鎖させた。

最初の欠陥(CVE-2024-9680)は、Firefoxのアニメーション・タイムライン機能に存在するuse-after-freeのバグで、ウェブ・ブラウザのサンドボックス内でコードが実行される可能性がある。Mozillaは、ESETがこの脆弱性を報告した1日後の2024年10月9日にパッチを適用した

このキャンペーンで悪用された2つ目のゼロデイ脆弱性は、Windowsタスクスケジューラサービスにおける特権昇格の欠陥(CVE-2024-49039)で、攻撃者はFirefoxおよびTorブラウザのサンドボックス外でコードを実行することができます。マイクロソフトは今月12日未明、このセキュリティ脆弱性に対処した。

RomComは、この2つの脆弱性をゼロデイチェーンエクスプロイトとして悪用し、ユーザーの操作を必要とせずにリモートでコードを実行できるようにしました。

攻撃者は、攻撃者が管理し、悪意を持って作成されたウェブサイトを訪問するだけで、RomComのバックドアをシステムにダウンロードし、実行することができました。

RomCom attack flow
RomCom攻撃の流れ(ESET)

「ESETのリサーチャーであるDamien Schaefferは、「この攻撃チェーンは、潜在的な被害者をエクスプロイトをホストするサーバーにリダイレクトする偽のWebサイトで構成されており、エクスプロイトが成功すると、RomComバックドアをダウンロードして実行するシェルコードが実行されます。

「偽のウェブサイトへのリンクがどのように配布されるかは不明ですが、脆弱なブラウザを使用してページに到達すると、ペイロードがドロップされ、ユーザーの操作を必要とせずに被害者のコンピュータ上で実行されます。

被害者のデバイス上に展開されると、このマルウェアによって攻撃者はコマンドを実行し、追加のペイロードを展開できるようになります。

ESETは、このキャンペーンを調査する中で、ロシアの脅威行為者が、政府、防衛、エネルギー、製薬、保険など、影響を受けるさまざまな業界のウクライナ、ヨーロッパ、北米の組織に攻撃を集中させていることを発見しました。

「2つのゼロデイ脆弱性を連鎖させることで、RomComはユーザーによる操作を必要としないエクスプロイトを手に入れました。ESETの研究者は、「このレベルの巧妙さは、ステルス機能を取得または開発する脅威行為者の意志と手段を示しています。

「さらに、悪用の試みが成功すると、広範なキャンペーンのように見えるRomComバックドアが配信されました。

RomCom victims
RomComの被害者ヒートマップ(ESET)

RomComがゼロデイを悪用した攻撃は今回が初めてではありません。2023年7月、RomComのオペレーターは、複数のWindowsおよびOffice製品のゼロデイ(CVE-2023-36884)を悪用し、リトアニアのヴィリニュスで開催されたNATOサミットに参加する組織を攻撃しました。

RomCom(Storm-0978、Tropical Scorpius、またはUNC2596としても追跡されている)は、金銭的な動機に基づくキャンペーンに関連しており、クレデンシャルの窃盗(おそらく諜報活動を支援することが目的)とともに、ランサムウェアや恐喝攻撃を組織化しています。

この脅威グループは、Industrial Spy ランサムウェアの活動にも 関連していましたが、その後、Underground ランサムウェアに切り替わっています。

ESETによると、RomComは最近、ヨーロッパとウクライナの政府、およびウクライナのエネルギーと防衛エンティティに対する標的型スパイ攻撃にシフトしています。