عامل تهدید همسو با روسیه RomCom که با نامهای Storm-0978، Tropical Scorpius، UAC-0180، UNC2596 و Void Rabisu نیز شناخته میشود، به اکسپلویت روز صفر از دو نقص امنیتی در موزیلا فایرفاکس و مایکروسافت ویندوز به عنوان بخشی از حملاتی که برای ارائه دربپشتی همنام به سیستمهای قربانی طراحی شدهاند، مرتبط است.
در یک حمله موفقیتآمیز، اگر قربانی صفحه وب حاوی اکسپلویت را مرور کند، نفوذگر میتواند کد دلخواه را بدون نیاز به هیچ گونه تعامل کاربر (zero click) اجرا کند که در این مورد منجر به نصب درب پشتی RomCom بر روی رایانه قربانی میشود. این حملات به دلیل استقرار RomCom RAT، بدافزاری که به طور فعال نگهداری میشود و قادر به اجرای دستورات و دانلود ماژولهای اضافی در دستگاه قربانی است، قابل توجه هستند.
آسیبپذیریهای مذکور به شرح زیر است:
- CVE-2024-9680 (امتیاز CVSS: 9.8): آسیبپذیری use-after-free در مؤلفه انیمیشن فایرفاکس (وصله شده توسط موزیلا در اکتبر 2024)
- CVE-2024-49039 (امتیاز CVSS: 8.8): آسیبپذیری ارتقا سطح دسترسی در Windows Task Scheduler (وصله شده توسط مایکروسافت در نوامبر 2024)
https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild
