Lỗ hổng đầu tiên, CVE-2024-9680 (điểm CVSS: 9,8) liên quan đến tính năng dòng thời gian hoạt ảnh của Firefox, cho phép các tin tặc thực thi mã trong sandbox của trình duyệt web. Mozilla đã vá lỗ hổng này vào ngày 9/10/2024, một ngày sau khi công ty an ninh mạng ESET (Slovakia) báo cáo về sự cố.
Zero-day thứ hai bị khai thác trong chiến dịch này là lỗ hổng leo thang đặc quyền với mã định danh CVE-2024-49039 (điểm CVSS: 8,8) trong dịch vụ Windows Task Scheduler, cho phép kẻ tấn công thực thi mã bên ngoài sandbox Firefox. Microsoft đã giải quyết lỗ hổng bảo mật này vào đầu 12/11/2024.
Các tin tặc RomCom đã lợi dụng hai lỗ hổng này như một khai thác chuỗi zero-day, giúp chúng thực thi mã từ xa mà không cần sự tương tác của người dùng.
Mục tiêu của những kẻ tấn công chỉ cần truy cập vào một trang web do chúng kiểm soát, đồng thời tạo ra một hoạt động độc hại để tải xuống và thực thi backdoor RomCom trên hệ thống.
Dựa trên tên của một trong những lỗ hổng JavaScript được sử dụng trong các cuộc tấn công (main-tor[.]js), kẻ tấn công cũng nhắm vào người dùng Tor Browser (phiên bản 12 và 13, theo phân tích của ESET).
Hình 1. Luồng tấn công của RomCom
Nhà nghiên cứu Damien Schaeffer của ESET cho biết: “Chuỗi xâm phạm bao gồm một trang web giả mạo là economistjournal[.]cloud và chuyển hướng nạn nhân đến máy chủ lưu trữ phần mềm độc hại redjournal[.]cloud, nếu khai thác thành công, shellcode sẽ được thực thi để tải xuống và chạy backdoor RomCom. Mặc dù chúng tôi không biết liên kết đến trang web giả mạo được phân phối như thế nào, tuy nhiên, nếu truy cập trang web bằng trình duyệt dễ bị tấn công, một phần mềm độc hại sẽ được nhúng và thực thi trên máy tính của nạn nhân mà không cần người dùng tương tác”.
Sau khi triển khai trên thiết bị của nạn nhân, phần mềm độc hại này cho phép kẻ tấn công chạy lệnh và triển khai các phần mềm độc hại bổ sung.
Trong khi điều tra chiến dịch này, ESET phát hiện rằng các tác nhân đe dọa từ Nga tập trung tấn công vào các tổ chức ở Ukraine, châu Âu và Bắc Mỹ từ nhiều lĩnh vực khác nhau, bao gồm chính phủ, quốc phòng, năng lượng, dược phẩm và bảo hiểm.
“Việc kết hợp hai lỗ hổng zero-day đã trang bị cho RomCom một công cụ khai thác không cần tương tác của người dùng. Mức độ tinh vi này cho thấy khả năng và phương thức của các tin tặc nguy hiểm như thế nào”, các nhà nghiên cứu ESET cho biết thêm.
Hình 2. Các nạn nhân bị ảnh hưởng bởi RomCom
Đây không phải là lần đầu tiên RomCom khai thác lỗ hổng zero-day trong các cuộc tấn công của mình. Vào tháng 7/2023, những kẻ tấn công này đã khai thác lỗ hổng zero-day (CVE-2023-36884) trong nhiều sản phẩm Windows và Office, nhằm mục tiêu để tấn công các tổ chức tham dự Hội nghị thượng đỉnh NATO tại Vilnius, Litva.
RomCom (còn được theo dõi với tên gọi Storm-0978, Tropical Scorpius hoặc UNC2596) có liên quan đến các chiến dịch có động cơ tài chính và các cuộc tấn công mã độc tống tiền, được triển khai cùng với hành vi đánh cắp thông tin xác thực (có khả năng nhằm mục đích hỗ trợ các hoạt động tình báo).
Theo ESET, gần đây các tin tặc RomCom đã chuyển hướng sang các cuộc tấn công gián điệp có mục tiêu vào các chính phủ châu Âu và Ukraine, cũng như các thực thể năng lượng và quốc phòng tại quốc gia Đông Âu này.
Nguyễn Thị Liên
13:00 | 27/05/2024
15:00 | 10/01/2025
10:00 | 11/12/2024
08:00 | 15/05/2024
12:00 | 23/12/2024
16:00 | 23/05/2024
13:00 | 03/01/2025
Ít nhất 5 tiện ích mở rộng của Chrome đã bị xâm phạm trong một cuộc tấn công mạng tinh vi, trong đó kẻ tấn công đã chèn mã đánh cắp thông tin nhạy cảm của người dùng.
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
11:00 | 29/11/2024
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025