گروه هکر بدنام RomCom، که با نام‌هایی مانند Storm-0978، Tropical Scorpius یا UNC2596 نیز شناخته می‌شود، کمپینی مخرب را آغاز کرده است. پژوهشگران امنیتی شرکت ESET اخیراً این کمپین را شناسایی کرده‌اند که از دو آسیب‌پذیری زیرو دی (روز صفر) برای نفوذ به سیستم‌های هدف استفاده کرده است. این سیستم‌ها شامل ویندوز و فایرفاکس بوده و هدف اصلی این حمله، نصب یک بک‌دور سفارشی برای کنترل سیستم قربانیان بوده است.

سوءاستفاده هکرهای روسیه از آسیب‌پذیری‌های روز صفر

محمدرضا شیرین آبادی دی ۱۰, ۱۴۰۳ 40495

سوءاستفاده هکرهای روسیه از آسیب‌پذیری‌های روز صفر

سوءاستفاده هکرهای روسی از آسیب‌پذیری‌های زیرو دی در فایرفاکس و ویندوز برای نصب بک‌دور گروه هکر بدنام RomCom، که با نام‌هایی مانند Storm-0978، Tropical Scorpius یا UNC2596 نیز شناخته می‌شود، کمپینی مخرب را آغاز کرده است. پژوهشگران امنیتی شرکت ESET اخیراً این کمپین را شناسایی کرده‌اند که از دو آسیب‌پذیری زیرو دی (روز صفر) برای نفوذ به سیستم‌های هدف استفاده کرده است. این سیستم‌ها شامل ویندوز و فایرفاکس بوده و هدف اصلی این حمله، نصب یک بک‌دور سفارشی برای کنترل سیستم قربانیان بوده است.

جزئیات حمله

این حمله برای اولین بار در 8 اکتبر شناسایی شد. این آسیب‌پذیری در مرورگرهای فایرفاکس، Thunderbird و Tor Browser (با شناسه CVE-2024-9680ا و متیاز امنیتی 9.8) بود. اگر کاربری با این مرورگرهای آسیب‌پذیر به یک وب‌سایت سفارشی مراجعه می‌کرد، کد مخرب بدون نیاز به تعامل کاربر در محیط محدود مرورگر اجرا می‌شد. این مشکل که ناشی از یک باگ نوع “use-after-free” در قابلیت انیمیشن فایرفاکس بود، تنها 24 ساعت پس از گزارش توسط ESET، توسط Mozilla برطرف شد.

اما این پایان ماجرا نبود. هکرهای RomCom با ترکیب این آسیب‌پذیری مرورگر با یک نقص دیگر در ویندوز CVE-2024-49039 با امتیاز امنیتی 8.8موفق شدند از سد امنیتی “سندباکس“ مرورگر عبور کنند. این نقص به مهاجمان اجازه می‌داد کد مخرب را با سطح دسترسی کاربر وارد شده به سیستم اجرا کرده و کنترل کامل آن را به دست بگیرند. شرکت مایکروسافت نیز در 12 نوامبر وصله امنیتی این مشکل را منتشر کرد.

نحوه اجرای حمله

سوءاستفاده هکرهای روسی از آسیب‌پذیری‌های صفرروزه در فایرفاکس و ویندوز برای نصب بک‌دور

هکرها ابتدا کاربران را به وب‌سایت‌های جعلی هدایت می‌کردند. این سایت‌ها از دامنه‌هایی استفاده می‌کردند که ظاهر قانونی داشتند و حتی نام سازمان‌های معتبر را در خود جای داده بودند. پس از این مرحله، کاربران به سروری منتقل می‌شدند که کدهای مخرب را میزبانی می‌کرد.

وب‌سایت‌های جعلی معمولاً در دامنه‌های خود از پیشوند یا پسوندهایی مانند “redir” یا “red” استفاده می‌کردند. در پایان، قربانیان به وب‌سایت واقعی هدایت می‌شدند تا کل حمله را پنهان کنند. پس از اجرای موفقیت‌آمیز حمله، بک‌دور سفارشی گروه RomCom روی سیستم قربانی نصب می‌شد که به مهاجمان امکان کنترل از راه دور سیستم آلوده را می‌داد.

اهداف و فعالیت‌های گروه RomCom

تحقیقات ESET نشان می‌دهد این گروه هکری، سازمان‌ها و صنایع مختلفی را هدف قرار داده مثل نهادهای دولتی در اوکراین، شرکت‌های داروسازی در آمریکا و شرکت‌های حقوقی در آلمان. اهداف این حملات شامل جاسوسی بوده

داده‌های جمع‌آوری‌شده توسط ESET بین 10 اکتبر تا 4 نوامبر نشان میدهد که کاربران قربانی این وب‌سایت‌های مخرب عمدتاً در اروپا و آمریکای شمالی قرار داشته‌اند. تعداد قربانیان بسته به کشور بین یک نفر تا 250 نفر متغیر بوده است.

به این نوشته امتیاز بدهید!

امتیاز 5.00

سوءاستفاده هکرهای روسیه از آسیب‌پذیری‌های روز صفر