Rosyjscy hakerzy atakują. Wykorzystali podatności Firefoxa i Windowsa

Operacje przeprowadzane przez cyberprzestępców przybierają różne formy. Bardzo często jest to wysłanie złośliwego załącznika drogą mailową – jednym z przykładów był opisywany przez nas atak phishingowy, wymierzony w użytkowników z całego świata. Przeprowadzili go w październiku rosyjscy hakerzy znani jako Midnight Blizzard, którzy dołączali do wiadomości złośliwy załącznik.

Luka w Firefoxie umożliwiała instalację backdoora

Tymczasem swoje działania podejmowały również inne grupy cyberprzestępców ze Wschodu. Jak opisuje Cybernews, rosyjski RomCom wykorzystywał dwie połączone ze sobą podatności w celu wykonywania kodu bez zaangażowania i wiedzy użytkownika sprzętu, osiągając tzw. zero-click exploit.

Sprawę odkryli badacze ESET Research, którzy na początku października natrafili na podatność znaną obecnie pod oznaczeniem CVE-2024-9680. Hakerzy z RomCom przygotowywali fałszywą stronę, która zawierała złośliwy kod Javascript. Jeżeli użytkownik wszedł na nią za pomocą przeglądarki Firefox, klienta Thunderbird lub Tor Browser, następowało przekierowanie na inną domenę, która za pomocą skryptu pobierała oraz instalowała na komputerze backdoora. 

Hakerom udało się znaleźć odpowiedni balans pomiędzy pobieraniem backdoora, a przekierowaniem. Każda z tych czynności następuje wystarczająco szybko, aby nie zakłócić siebie nawzajem i nie wzbudzić podejrzeń ofiary.

Luka również w Windowsie. Obie były powiązane

W parze z podatnością Mozilli idzie problem związany z Windows Task Scheduler. Oznaczona jako CVE-2024-49039 luka pozwala na nieautoryzowane podniesienie poziomu praw danego obiektu bez autoryzacji. Tak jak w przypadku przeglądarek, nie wymaga działania od ofiary – wszystko odbywa się „po cichu”. Mozilla wskazała, że obie luki były ze sobą powiązane. 

Według informacji udostępnionych przez ESET, większość osób poszkodowanych przez atak RomComu znajduje się w Unii Europejskiej, Stanach Zjednoczonych i Kanadzie. Statystyki wskazują, że w danym kraju może być nawet 250 ofiar. Na liście niestety jest również Polska, nie ma jednak szczegółowych danych o liczbie poszkodowanych przez państwo.

ESET zauważył, że obie podatności były wykorzystywane przez rosyjskich hakerów razem w jednym momencie. „Ten poziom wyrafinowania wskazuje na wolę i środki aktora zagrożeń do uzyskania lub rozwinięcia ukrytych zdolności” – wyjaśnili eksperci na swojej stronie internetowej. 

Mozilla została powiadomiona o problemie w dniu wykrycia luki przez ESET, a aktualizacje dla dotkniętych programów zostały opublikowane następnego dnia – w przypadku Firefoxa są to wersje 131.0.2, ESR 128.3.1 oraz ESR 115.16.1. Microsoft wydał z kolei aktualizację łatającą podatność Windowsa w pierwszej połowie listopada.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].