Lỗ hổng đầu tiên, CVE-2024-9680 (điểm CVSS: 9,8) liên quan đến tính năng dòng thời gian hoạt ảnh của Firefox, cho phép các tin tặc thực thi mã trong sandbox của trình duyệt web. Mozilla đã vá lỗ hổng này vào ngày 9/10/2024, một ngày sau khi công ty an ninh mạng ESET (Slovakia) báo cáo về sự cố.
Zero-day thứ hai bị khai thác trong chiến dịch này là lỗ hổng leo thang đặc quyền với mã định danh CVE-2024-49039 (điểm CVSS: 8,8) trong dịch vụ Windows Task Scheduler, cho phép kẻ tấn công thực thi mã bên ngoài sandbox Firefox. Microsoft đã giải quyết lỗ hổng bảo mật này vào đầu 12/11/2024.
Các tin tặc RomCom đã lợi dụng hai lỗ hổng này như một khai thác chuỗi zero-day, giúp chúng thực thi mã từ xa mà không cần sự tương tác của người dùng.
Mục tiêu của những kẻ tấn công chỉ cần truy cập vào một trang web do chúng kiểm soát, đồng thời tạo ra một hoạt động độc hại để tải xuống và thực thi backdoor RomCom trên hệ thống.
Dựa trên tên của một trong những lỗ hổng JavaScript được sử dụng trong các cuộc tấn công (main-tor[.]js), kẻ tấn công cũng nhắm vào người dùng Tor Browser (phiên bản 12 và 13, theo phân tích của ESET).
Hình 1. Luồng tấn công của RomCom
Nhà nghiên cứu Damien Schaeffer của ESET cho biết: “Chuỗi xâm phạm bao gồm một trang web giả mạo là economistjournal[.]cloud và chuyển hướng nạn nhân đến máy chủ lưu trữ phần mềm độc hại redjournal[.]cloud, nếu khai thác thành công, shellcode sẽ được thực thi để tải xuống và chạy backdoor RomCom. Mặc dù chúng tôi không biết liên kết đến trang web giả mạo được phân phối như thế nào, tuy nhiên, nếu truy cập trang web bằng trình duyệt dễ bị tấn công, một phần mềm độc hại sẽ được nhúng và thực thi trên máy tính của nạn nhân mà không cần người dùng tương tác”.
Sau khi triển khai trên thiết bị của nạn nhân, phần mềm độc hại này cho phép kẻ tấn công chạy lệnh và triển khai các phần mềm độc hại bổ sung.
Trong khi điều tra chiến dịch này, ESET phát hiện rằng các tác nhân đe dọa từ Nga tập trung tấn công vào các tổ chức ở Ukraine, châu Âu và Bắc Mỹ từ nhiều lĩnh vực khác nhau, bao gồm chính phủ, quốc phòng, năng lượng, dược phẩm và bảo hiểm.
“Việc kết hợp hai lỗ hổng zero-day đã trang bị cho RomCom một công cụ khai thác không cần tương tác của người dùng. Mức độ tinh vi này cho thấy khả năng và phương thức của các tin tặc nguy hiểm như thế nào”, các nhà nghiên cứu ESET cho biết thêm.
Hình 2. Các nạn nhân bị ảnh hưởng bởi RomCom
Đây không phải là lần đầu tiên RomCom khai thác lỗ hổng zero-day trong các cuộc tấn công của mình. Vào tháng 7/2023, những kẻ tấn công này đã khai thác lỗ hổng zero-day (CVE-2023-36884) trong nhiều sản phẩm Windows và Office, nhằm mục tiêu để tấn công các tổ chức tham dự Hội nghị thượng đỉnh NATO tại Vilnius, Litva.
RomCom (còn được theo dõi với tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596) có liên quan đến các chiến dịch có động cơ tài chính và các cuộc tấn công mã độc tống tiền, được triển khai cùng với hành vi đánh cắp thông tin xác thực (có khả năng nhằm mục đích hỗ trợ các hoạt động tình báo).
Theo ESET, gần đây các tin tặc RomCom đã chuyển hướng sang các cuộc tấn công gián điệp có mục tiêu vào các chính phủ châu Âu và Ukraine, cũng như các thực thể năng lượng và quốc phòng tại quốc gia Đông Âu này.
Nguyễn Thị Liên
13:00 | 27/05/2024
15:00 | 10/01/2025
10:00 | 11/12/2024
08:00 | 15/05/2024
12:00 | 23/12/2024
16:00 | 23/05/2024
10:00 | 28/11/2024
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
07:00 | 23/09/2024
Theo hãng bảo mật Doctor Web (Nga), tin tặc đã sử dụng mã độc Android.Vo1d để cài đặt backdoor trên các TV box, cho phép chúng chiếm quyền kiểm soát thiết bị hoàn toàn, sau đó tải và thực thi các ứng dụng độc hại khác. Được biết, các TV box này chạy hệ điều hành Android đã lỗi thời.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025