RomCom利用零日漏洞进行攻击

关键要点

• RomCom网络威胁行动利用Firefox和Windows的零日漏洞进行攻击。
• 漏洞包括Firefox动画时间线的use-after-free（CVE-2024-9680）和Windows任务计划程序的权限提升漏洞（CVE-2024-49039）。
• 攻击目标主要为北美和欧洲，背景为广泛的攻击运动。
• RomCom利用伪造网站进行重定向，部署恶意后门程序，实现进一步的攻击。
• 此次开发表明攻击者具备获取或开发隐秘能力的意愿与手段。

根据的报道，俄罗斯黑客组织RomCom（也称为热带天蝎、Storm-0978和UNC2596）已经启动了针对北美和欧洲的攻击活动，此次攻击使用了两个零日漏洞。这两个漏洞分别是Firefox动画时间线的use- after-free漏洞（CVE-2024-9680）和Windows任务计划程序的权限提升漏洞（CVE-2024-49039）。

根据ESET的分析，RomCom利用一个伪造的网站将目标重定向到一个恶意服务器，进一步部署与执行了RomCom后门程序，这可以导致更大范围的恶意软件侵害。“将两个零日漏洞结合在一起，使RomCom具备了无需用户交互的利用能力。这种高级的攻击手法显示了该威胁行为者获取或开发隐蔽能力的意图和能力，”ESET表示。这一发展是在去年北约峰会上，RomCom针对与会者进行攻击，利用Windows和MicrosoftOffice漏洞的背景下发生的。

这种攻击形式的出现，意味着网络安全形势的复杂程度加剧，及时更新软件和安全防护措施是组织防范此类攻击的重要步骤。