بر اساس گزارشهای منتشر شده، گروه هکری RomCom که به عنوان یک گروه هکری روسی شناخته میشوند، در حمله اخیر خود از دو آسیبپذیری مختلف برای هدف قرار دادن کاربرانی که از مرورگرهای فایرفاکس و تور در قارههای اروپا و آمریکای شمالی استفاده میکنند، بهره برده است.
اولین آسیبپذیری با شناسه CVE-2024-9680، یک آسیبپذیری در مرورگر فایرفاکس است که به مهاجمان اجازه اجرای کد دلخواه در سندباکس مرورگر را میدهد. این نقص توسط شرکت موزیلا در تاریخ ۹ اکتبر سال ۲۰۲۴ اصلاح شده است.
دومین آسیبپذیری با شناسه CVE-2024-49039، یک آسیبپذیری در سرویس Task Scheduler سیستمعامل ویندوز است که به مهاجمان اجازه میدهد کد دلخواه خود را خارج از سندباکس مرورگر فایرفاکس اجرا کنند. این نقص نیز در ماه نوامبر سال ۲۰۲۴ توسط شرکت مایکروسافت اصلاح شده است.
گروه RomCom از این دو آسیبپذیری برای اجرای کد از راه دور بدون نیاز به تعامل با کاربر استفاده کرده و کاربران مرورگر آسیبپذیر تنها با بازدید از وبسایت تحت کنترل مهاجمان مورد حمله قرار میگیرند.
گزارشهای مبنی بر تعداد حملات موفق این حملات نشان میدهند که این کمپین تاکنون با بیش از ۲۵۰ قربانی، نسبتاً یک کمپین موفق و گسترده بوده است.
همچنین این گروه روسی در حال هدفگیری سازمانهایی در اوکراین، اروپا و آمریکای شمالی با هدف جاسوسی در بخشهای مختلف از جمله دولت، بخش دفاعی، صنعت انرژی، داروسازی و بیمه است.
توضیحات بیشتر:
- Firefox and Windows zero-days exploited by Russian RomCom hackers