2024 年 11 月 30 日の更新: 当初 11 月 29 日に公開されたこの記事には、Storm-0978、RomCom の配布者、および複数の脆弱性ゼロクリック Firefox および Windows サイバー攻撃の背後にいる攻撃者に関する詳細が含まれています。

2 つのゼロデイ セキュリティ脆弱性 (1 つは深刻度 9.8、もう 1 つは 8.8) を連鎖させたサイバー攻撃は、悪用するマルウェア ファミリにちなんで「RomCom」と呼ばれるロシア国家支援の既知の脅威グループによるものであることがセキュリティ研究者によって確認されました。このサイバー攻撃では、これらの未知のセキュリティ脆弱性を利用して、Mozilla Firefox Web ブラウザと Windows 自体の両方を悪用し、コマンドを実行してターゲット コンピュータにさらなるマルウェアをダウンロードできるバックドアをインストールしました。 Windows ユーザーに対する RomCom ハッキング攻撃についてわかっていることは次のとおりです。

フォーブス目を覚ましてランサムウェアの匂いを嗅いでください — スターバックスがサイバー攻撃の影響を受けるによる デイビー・ワインダー

RomCom ゼロクリック サイバー攻撃の説明

潜在的な被害者は主にヨーロッパと北米に集中しており、 ESETのセキュリティ研究者が詳細な分析を発表 彼らは広範なキャンペーンと呼んでいました。このサイバー攻撃がどれほど大規模なものであったかを理解するには、1 つではなく 2 つのゼロデイ脆弱性が連鎖的に使用され、強力なエクスプロイトが行われ、最終的にはロシアのハッカーが制御するバックドアが Windows コンピューターにインストールされる可能性がありました。

Mozillaの脆弱性、 CVE-2024-9680は、一般的な脆弱性と暴露リスクの重大度が 10 段階中 9.8 と非常に高く、Firefox アニメーション タイムライン機能における解放後の使用メモリの欠陥でした。一方、Windows ゼロデイでは、 CVE-2024-49039は 10 点中 8.8 と評価されており、Mozilla Firefox ブラウザのセキュリティ サンドボックス外で悪意のあるコードが動作する可能性があるエスカレーション欠陥の特権でした。これら 2 つを連鎖させることは、ゼロクリックエクスプロイトであり、私が考える限り、危険性の評価は 10 段階中 10 に近いと言えます。

「侵害チェーンは、潜在的な被害者をエクスプロイトをホストするサーバーにリダイレクトする偽の Web サイトで構成されており、エクスプロイトが成功すると、RomCom バックドアをダウンロードして実行するシェルコードが実行されます。」と両方の脆弱性を発見した ESET 研究者のダミアン・シェーファー氏は述べています。 、 言った。

フォーブスあなたはすでにマトリックスに参加していますか—3,500 万台のデバイスが Blue Pill 攻撃を受けていますによる デイビー・ワインダー

ゼロクリック サイバー攻撃の背後にある脅威アクター、Storm-0978 (RomCom としても知られる) についてわかっていること

Windows システムにバックドアをインストールする Firefox および Windows のゼロクリック エクスプロイト チェーンの背後にある脅威アクターは RomCom として知られていますが、他にも多くの名前があります。 ESETの報告書によると、Storm-0978、Tropical Scorpius、UNC2596としても知られるRomComは、「選ばれた業種に対する日和見的キャンペーンと標的を絞ったスパイ活動の両方を行うロシアと連携したグループ」であるという。

このようなロシア関連の脅威グループによるウクライナの政府、国防、エネルギー部門への標的化が予想されるほか、ロムコムは米国の製薬業界や保険業界も標的にしている。ドイツの法律部門。およびヨーロッパの政府機関。

ESETは、「同グループの焦点は、より従来型のサイバー犯罪活動と並行して、情報を収集するスパイ活動に移った」と述べた。

からの脅威インテリジェンス パロアルトユニット42グループ 2024 年 9 月に公開された同氏は、2023 年 12 月に遡る RomCom マルウェア株を発見しましたが、脅威アクターは少なくとも 2022 年からこのマルウェアを積極的に使用していたと指摘しています。「RomCom RAT は、長年にわたって進化し、さまざまな機能やユニット 42 の研究者であるヤロン・サミュエル氏とドミニク・ライチェル氏は、「彼らはランサムウェア、恐喝、ターゲットを絞った認証情報に関与しています」と述べています。情報収集活動を支援する可能性が高い。」

フォーブスGoogle と Microsoft ユーザーが警告—Rockstar 2FA バイパス攻撃が到来による デイビー・ワインダー

ロムコムサイバー攻撃を阻止するには迅速な行動が必要

現在、両方の脆弱性はそれぞれのベンダーによってパッチされており、特に Mozilla チームに対して「非常に迅速に対応し、1 日以内にパッチをリリースするという素晴らしい仕事ぶりを強調してくれた」とシェーファー氏は感謝した。の Firefox の脆弱性は 10 月 9 日にパッチされました 10月8日に報道されてから。

一方、Windows の脆弱性は、 最新のパッチ火曜日のセキュリティまとめの一部として修正されました 一見すると、これは憂慮すべき遅延のように見えますが、これは連鎖的なサイバー攻撃による悪用であり、悪用を成功させるためにはパッチが適用されていない脆弱性が両方とも存在する必要があることを思い出してください。

しかし、現状に満足してサイバー攻撃の危険が終わったと考えている場合ではありません。特に、Action1 の社長兼共同創設者であるマイク・ウォルターズ氏が言うように、ソフトウェアやオペレーティング システムのアップデートが万全でない場合はなおさらです。 「RomCom 攻撃者が使用する悪用手法は、他の組織に顕著なリスクをもたらし、いくつかの脆弱性と潜在的な攻撃ベクトルを浮き彫りにしています。ウォルターズ氏はさらに、組織は既知のパッチが適用されていない Firefox や Windows などの古いバージョンのソフトウェアを実行していると述べました」脆弱性は「重大なリスクにさらされている」。

フォーブスMicrosoft の新しい Windows 11 の決定 – 何百万ものパスワードを置き換える必要があるによる デイビー・ワインダー