Le groupe de cybercriminalité RomCom basé en Russie a enchaîné deux vulnérabilités zero-day lors d’attaques récentes ciblant les utilisateurs des navigateurs Firefox et Tor en Europe et en Amérique du Nord.
La première faille (CVE-2024-9680) est un bogue d’utilisation après libération dans la fonctionnalité de chronologie d’animation de Firefox qui permet l’exécution de code dans le bac à sable du navigateur Web. Mozilla a corrigé cette vulnérabilité le 9 octobre 2024, un jour après qu’ESET l’ait signalée.
Le deuxième jour zéro exploité dans cette campagne est une faille d’escalade de privilèges (CVE-2024-49039) dans le service Planificateur de tâches Windows, permettant aux attaquants d’exécuter du code en dehors de la sandbox Firefox. Microsoft a corrigé cette faille de sécurité plus tôt ce mois-ci, le 12 novembre.
RomCom a abusé des deux vulnérabilités en tant qu’exploit de chaîne zero-day, ce qui les a aidés à obtenir l’exécution de code à distance sans nécessiter d’interaction de l’utilisateur. Leurs cibles n’avaient qu’à visiter un site Web contrôlé par un attaquant et conçu de manière malveillante qui téléchargeait et exécutait la porte dérobée RomCom sur leur système.
Basé sur le nom de l’un des exploits JavaScript utilisés dans les attaques (main-tor.js), les auteurs de la menace ciblaient également les utilisateurs du navigateur Tor (versions 12 et 13, selon l’analyse d’ESET).
« La chaîne de compromission est composée d’un faux site Web qui redirige la victime potentielle vers le serveur hébergeant l’exploit, et si l’exploit réussit, un shellcode est exécuté qui télécharge et exécute la porte dérobée RomCom », a déclaré Damien Schaeffer, chercheur chez ESET.
« Bien que nous ne sachions pas comment le lien vers le faux site Web est distribué, cependant, si la page est atteinte à l’aide d’un navigateur vulnérable, une charge utile est supprimée et exécutée sur l’ordinateur de la victime sans qu’aucune interaction de l’utilisateur ne soit requise. »
Une fois déployé sur l’appareil d’une victime, ce malware a permis aux attaquants d’exécuter des commandes et de déployer des charges utiles supplémentaires.
« L’enchaînement de deux vulnérabilités zero-day a armé RomCom d’un exploit qui ne nécessite aucune interaction de l’utilisateur. Ce niveau de sophistication montre la volonté et les moyens de l’auteur de la menace d’obtenir ou de développer des capacités furtives », a ajouté ESET.
De plus, le nombre de tentatives d’exploitation réussies dans ces attaques qui se sont terminées par le déploiement de la porte dérobée RomCom sur les appareils des victimes a conduit ESET à croire qu’il s’agissait d’une campagne généralisée.
« Le nombre de cibles potentielles va d’une seule victime par pays à jusqu’à 250, selon la télémétrie ESET », a déclaré ESET.
Ce n’est pas la première fois que RomCom exploite un jour zéro dans ses attaques. En juillet 2023, ses opérateurs ont exploité un jour zéro (CVE-2023-36884) dans plusieurs produits Windows et Office pour attaquer des organisations participant au sommet de l’OTAN à Vilnius, en Lituanie.
RomCom (également connu sous le nom de Storm-0978, Tropical Scorpius ou UNC2596) a été lié à des campagnes à motivation financière et à des attaques orchestrées de rançongiciels et d’extorsion parallèlement au vol d’informations d’identification (visant probablement à soutenir les opérations de renseignement).
Le groupe de menaces était également lié à l’opération de ransomware Espion industriel, qui est depuis passée au ransomware souterrain.
Selon ESET, RomCom cible désormais également des organisations en Ukraine, en Europe et en Amérique du Nord pour des attaques d’espionnage dans divers secteurs, notamment le gouvernement, la défense, l’énergie, les produits pharmaceutiques et les assurances.