Un report di ESET ha collegato l’attore di cyber minacce allineato alla Russia, noto come RomCom, allo sfruttamento zero-day di due falle di sicurezza, una in Mozilla Firefox e l’altra in Microsoft Windows. Farebbero parte di attacchi progettati per fornire l’omonima backdoor sui sistemi delle vittime.
“Questo attacco informatico mette in luce quanto sia critico il ruolo degli zero-day e del phishing negli attacchi mirati come quelli di RomCom”, commenta Alessandro Sevà, Technical Sales in Tinexta Cyber.
“Nonostante il browser Firefox abbia una quota di mercato relativamente bassa (2,65%), sono oltre 160 milioni i client installati e attivi, di cui il 77% installato sulle recenti versioni di Microsoft Windows“, aggiunge Vincenzo Sgaramella, Head of Security Governance di Tinexta Cyber.
Ecco i dettagli dell’attacco e come proteggersi.
Indice degli argomenti
Falle zero-day in Firefox e Windows nel mirino di RomCom
Le vulnerabilità in questione sono CVE-2024-9680 (punteggio CVSS: 9,8), una falla use-after-free nel componente Animazione di Firefox (che ha già ricevuto una patch da Mozilla nell’ottobre 2024); e CVE-2024-49039 (punteggio CVSS: 8,8), una vulnerabilità di privilege escalation in Windows Task Scheduler (anche questa ha già una patch, rilasciata da Microsoft, a novembre).
Dai dati di telemetria di ESET emerge che la maggior parte delle vittime che hanno visitato il sito che ospita l’exploit si trovava in Europa e in Nord America.
“In un attacco riuscito, se una vittima naviga su una pagina web contenente l’exploit, un avversario può eseguire codice arbitrario – senza alcuna interazione da parte dell’utente (zero click) – che in questo caso ha portato all’installazione della backdoor di RomCom sul computer della vittima”, ha dichiarato ESET in un rapporto condiviso con Hacker News.
RomCom, noto anche come Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 e Void Rabisu, ha un curriculum di operazioni di cybercriminalità e spionaggio che risalgono almeno al 2022.
“È impressionante vedere come vulnerabilità in software di uso quotidiano, come Firefox, possano essere sfruttate per obiettivi strategici”, avverte Alessandro Sevà.
Questa è la seconda volta in cui RomCom ha sfruttato una vulnerabilità zero-day in natura, dopo l’abuso di CVE-2023-36884 tramite Microsoft Word nel giugno 2023.
“Il concatenamento di due vulnerabilità zero-day ha fornito a RomCom un exploit che non richiede alcuna interazione da parte dell’utente”, ha aggiunto ESET. “Questo livello di sofisticazione dimostra la volontà e i mezzi dell’attore delle minacce di ottenere o sviluppare capacità furtive”.
La catena d’attacco
La catena di attacchi scoperta dalla società di cybersicurezza slovacca prevede l’uso di un sito web falso (economistjournal[.]cloud) che è responsabile di reindirizzare le potenziali vittime a un server (redjournal[.]cloud) che ospita il payload dannoso che, a sua volta, mette insieme entrambe le falle per ottenere l’esecuzione del codice e rilasciare il RomCom RAT.
“In questo scenario, il vettore d’attacco è il social engineering per la distribuzione di URL malevoli. L’intento criminale, basato sulla combinazione di due vulnerabilità, sfrutta infatti la tecnica del Drive-by Compromise ovvero la compromissione per mezzo di un browser vulnerabile”, avverte Vincenzo Sgaramella: “La seconda parte dell’attacco è vincolata ai permessi che l’utente ha sulla macchina“.
Questi attacchi si distinguono per l’implementazione di RomCom RAT, un malware attivo che è in grado di eseguire comandi e scaricare moduli aggiuntivi sul computer della vittima.
Al momento non è noto come vengano distribuiti i link al sito Web falso, ma è stato rilevato che l’exploit viene attivato se il sito viene visitato da una versione vulnerabile del browser Firefox.
“Se una vittima che utilizza un browser vulnerabile visita una pagina web che serve questo exploit, la vulnerabilità viene attivata e lo shellcode viene eseguito in un processo di contenuto”, spiega ESET.
“Lo shellcode è composto da due parti: la prima recupera la seconda dalla memoria e contrassegna le pagine contenenti come eseguibili, mentre la seconda implementa un PE loader basato sul progetto open-source Shellcode Reflective DLL Injection (RDI)”.
Il risultato è una fuga dalla sandbox di Firefox che porta al download e all’esecuzione di RomCom RAT sul sistema compromesso. Ciò avviene per mezzo di una libreria incorporata (“PocLowIL”) progettata per uscire dal processo di contenuto sandbox del browser sfruttando la falla del Task Scheduler di Windows per ottenere privilegi elevati.
Come proteggersi da RomCom RAT
Il Threat Analysis Group (TAG) di Google ha scoperto e segnalato la falla a Microsoft in modo indipendente, suggerendo che più di un attore di minacce potrebbe averla sfruttata come zero-day.
“Riuscire a sfruttare due vulnerabilità zero-day con uno score così elevato, ottenere un ‘sandbox escape’, fare privilege escalation e somministrare un RAT, di fatto, attraverso la sola e semplice navigazione su un sito “fake”, senza necessità che la potenziale vittima interagisca (zero click) sviluppando una catena d’attacco tanto sofisticata quanto silente, rappresenta una minaccia davvero molto critica“, spiega Enrico Morisi, Ict Security Manager.
Questi attacchi dimostrano l’importanza cruciale di installare le patch e mantenere sistemi operativi, software e app sempre aggiornati.
“Nel caso specifico, se da un lato è fondamentale mantenere il software aggiornato (sistema operativo incluso) applicando tempestivamente le patch di sicurezza, dotarsi di sistemi evoluti e gestiti di detection & response e monitorare il traffico di rete, in particolare quello in uscita (outbound), dall’altro è decisivo il comportamento dell’utente, che deve usare Internet in modo responsabile, evitando di navigare su siti web che non adottino protocolli di comunicazione sicuri (ndr cifrati – HTTPS) verificando preventivamente gli URL utilizzati (e.g. typosquatting) disabilitando l’auto-completamento nei form, bloccando le finestre di pop-up, gestendo opportunamente l’advertising, verificando accuratamente le estensioni del browser utilizzato, limitando al massimo l’uso dei cookie, utilizzando policy adeguate per la scelta delle password e introducendo l’MFA”, conclude Morisi.
“È fondamentale mantenere aggiornati i sistemi e formare gli utenti, visto che spesso il fattore umano rimane il punto debole principale“, conclude Alessandro Sevà.
La consapevolezza e una corretta postura di sicurezza rappresentano infatti le armi di difesa principali.
“Le mitigazioni da mettere in atto sono molteplici e possono riguardare diversi ambiti:
- patch management e gestione dei permessi utente (minimo privilegio);
- protezione attiva dell’endpoint e della navigazione internet con il blocco dei domini malevoli;
- formazione e sensibilizzazione sui rischi del social engineering“, conclude Vincenzo Sgaramella.
