RomCom 黑客利用 Firefox 和 Windows 零日漏洞

主要观点总结

本文报道了RomCom网络犯罪组织利用Firefox和Windows的两个零日漏洞（CVE-2024-9680和CVE-2024-49039）进行攻击的事件。这两个漏洞被链接在一起，帮助RomCom在无需用户交互的情况下执行远程代码。攻击针对欧洲和北美的Firefox和Tor浏览器用户，假网站用于将潜在受害者重定向到托管漏洞的服务器，一旦漏洞成功，就会执行RomCom后门。该恶意软件使攻击者能够在受害者的设备上运行命令并部署额外的有效负载。RomCom威胁组织还与勒索软件和间谍攻击有关，目前针对乌克兰、欧洲和北美的组织进行跨行业的攻击。

关键观点总结

关键观点1: RomCom网络犯罪组织利用两个零日漏洞进行攻击

第一个漏洞存在于Firefox动画时间线功能中，第二个漏洞是Windows任务计划程序服务中的权限升级漏洞。这两个漏洞被用作零日链，帮助攻击者无需用户交互即可执行远程代码。

关键观点2: 攻击针对欧洲和北美的Firefox和Tor浏览器用户

攻击通过虚假网站进行，将潜在受害者重定向到托管漏洞的服务器，如果漏洞成功，就会执行RomCom后门，使攻击者能够在受害者的设备上运行命令并部署额外的有效负载。

关键观点3: RomCom威胁组织的活动

RomCom威胁组织与此前的零日漏洞攻击和多种勒索软件行动有关。据ESET称，该组织现在针对乌克兰、欧洲和北美的组织进行跨行业的间谍攻击。

文章预览

总部位于俄罗斯的 RomCom 网络犯罪组织在最近针对欧洲和北美 Firefox 和 Tor 浏览器用户的攻击中发现了两个零日漏洞。 第一个漏洞 (CVE-2024-9680) 是 Firefox 动画时间线功能中的释放后使用错误，该功能允许在 Web 浏览器的沙箱中执行代码。Mozilla 于 2024 年 10 月 9 日（ESET 报告该漏洞一天后）修补了该漏洞。 利用的第二个零日漏洞是 Windows 任务计划程序服务中的权限升级漏洞 (CVE-2024-49039)，该漏洞允许攻击者在 Firefox 沙箱之外执行代码。Microsoft 在本月初（即 11 月 12 日）修复了此安全漏洞。 RomCom 将这两个漏洞作为零日链漏洞利用，帮助他们无需用户交互即可获得远程代码执行。他们的目标只需访问一个由攻击者控制的恶意制作的网站，该网站会在其系统上下载并执行 RomCom 后门。 根据攻击中使用的 JavaScript 漏洞之一的名称 (main-tor.js)，威胁者还针对 Tor ………………………………