Lỗ hổng đầu tiên, CVE-2024-9680 (điểm CVSS: 9,8) liên quan đến tính năng dòng thời gian hoạt ảnh của Firefox, cho phép các tin tặc thực thi mã trong sandbox của trình duyệt web. Mozilla đã vá lỗ hổng này vào ngày 9/10/2024, một ngày sau khi công ty an ninh mạng ESET (Slovakia) báo cáo về sự cố.
Zero-day thứ hai bị khai thác trong chiến dịch này là lỗ hổng leo thang đặc quyền với mã định danh CVE-2024-49039 (điểm CVSS: 8,8) trong dịch vụ Windows Task Scheduler, cho phép kẻ tấn công thực thi mã bên ngoài sandbox Firefox. Microsoft đã giải quyết lỗ hổng bảo mật này vào đầu 12/11/2024.
Các tin tặc RomCom đã lợi dụng hai lỗ hổng này như một khai thác chuỗi zero-day, giúp chúng thực thi mã từ xa mà không cần sự tương tác của người dùng.
Mục tiêu của những kẻ tấn công chỉ cần truy cập vào một trang web do chúng kiểm soát, đồng thời tạo ra một hoạt động độc hại để tải xuống và thực thi backdoor RomCom trên hệ thống.
Dựa trên tên của một trong những lỗ hổng JavaScript được sử dụng trong các cuộc tấn công (main-tor[.]js), kẻ tấn công cũng nhắm vào người dùng Tor Browser (phiên bản 12 và 13, theo phân tích của ESET).
Hình 1. Luồng tấn công của RomCom
Nhà nghiên cứu Damien Schaeffer của ESET cho biết: “Chuỗi xâm phạm bao gồm một trang web giả mạo là economistjournal[.]cloud và chuyển hướng nạn nhân đến máy chủ lưu trữ phần mềm độc hại redjournal[.]cloud, nếu khai thác thành công, shellcode sẽ được thực thi để tải xuống và chạy backdoor RomCom. Mặc dù chúng tôi không biết liên kết đến trang web giả mạo được phân phối như thế nào, tuy nhiên, nếu truy cập trang web bằng trình duyệt dễ bị tấn công, một phần mềm độc hại sẽ được nhúng và thực thi trên máy tính của nạn nhân mà không cần người dùng tương tác”.
Sau khi triển khai trên thiết bị của nạn nhân, phần mềm độc hại này cho phép kẻ tấn công chạy lệnh và triển khai các phần mềm độc hại bổ sung.
Trong khi điều tra chiến dịch này, ESET phát hiện rằng các tác nhân đe dọa từ Nga tập trung tấn công vào các tổ chức ở Ukraine, châu Âu và Bắc Mỹ từ nhiều lĩnh vực khác nhau, bao gồm chính phủ, quốc phòng, năng lượng, dược phẩm và bảo hiểm.
“Việc kết hợp hai lỗ hổng zero-day đã trang bị cho RomCom một công cụ khai thác không cần tương tác của người dùng. Mức độ tinh vi này cho thấy khả năng và phương thức của các tin tặc nguy hiểm như thế nào”, các nhà nghiên cứu ESET cho biết thêm.
Hình 2. Các nạn nhân bị ảnh hưởng bởi RomCom
Đây không phải là lần đầu tiên RomCom khai thác lỗ hổng zero-day trong các cuộc tấn công của mình. Vào tháng 7/2023, những kẻ tấn công này đã khai thác lỗ hổng zero-day (CVE-2023-36884) trong nhiều sản phẩm Windows và Office, nhằm mục tiêu để tấn công các tổ chức tham dự Hội nghị thượng đỉnh NATO tại Vilnius, Litva.
RomCom (còn được theo dõi với tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596) có liên quan đến các chiến dịch có động cơ tài chính và các cuộc tấn công mã độc tống tiền, được triển khai cùng với hành vi đánh cắp thông tin xác thực (có khả năng nhằm mục đích hỗ trợ các hoạt động tình báo).
Theo ESET, gần đây các tin tặc RomCom đã chuyển hướng sang các cuộc tấn công gián điệp có mục tiêu vào các chính phủ châu Âu và Ukraine, cũng như các thực thể năng lượng và quốc phòng tại quốc gia Đông Âu này.
Nguyễn Thị Liên
13:00 | 27/05/2024
15:00 | 10/01/2025
10:00 | 11/12/2024
08:00 | 15/05/2024
12:00 | 23/12/2024
16:00 | 23/05/2024
14:00 | 04/02/2025
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 24/01/2025
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
09:00 | 08/01/2025
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
08:00 | 19/02/2025