Beveiligingsonderzoekers hebben twee tot nu toe onbekende zero-day kwetsbaarheden ontdekt die actief worden misbruikt door RomCom. Dit is een met Rusland verbonden hackgroep. De hackers vallen gebruikers aan door kwetsbaarheden in Firefox en Windows.
Dit schrijft TechCrunch. RomCom is een cybercriminele groep die bekend staat om het uitvoeren van cyberaanvallen en andere digitale infiltraties in opdracht van de Russische overheid. Vorige maand linkte men de groep nog aan een ransomware-aanval op het Japanse technologiebedrijf Casio.
Zero-click-exploit
Onderzoekers van het beveiligingsbedrijf ESET zeggen bewijs te hebben dat RomCom twee zero-day kwetsbaarheden combineerde om een zero-click-exploit te creëren. Deze exploit stelt hackers in staat om op afstand malware op een computer van een slachtoffer te plaatsen. Dit zonder enige interactie van de gebruiker.
“Dit niveau van geavanceerdheid toont aan dat de dreigingsactor over de capaciteiten en intenties beschikt om heimelijke aanvalsmethoden te ontwikkelen,” aldus ESET-onderzoekers Damien Schaeffer en Romain Dumont in een blogpost.
De doelwitten van RomCom moesten een kwaadaardige website bezoeken die door de hackgroep werd beheerd om de zero-click-exploit te activeren. Na exploitatie werd de zogenaamde “RomCom backdoor” op de computer van het slachtoffer geïnstalleerd, waarmee de hackers uitgebreide toegang kregen tot het apparaat.
Kwetsbaarheden in Firefox en Windows gepatcht
Schaeffer vertelde aan TechCrunch dat het aantal potentiële slachtoffers van de hackcampagne van RomCom varieerde van één slachtoffer per land tot wel 250 slachtoffers. De meeste doelwitten bevonden zich in Europa en Noord-Amerika.
Mozilla patchte de kwetsbaarheid in Firefox op 9 oktober. Dit is een dag nadat ESET de browserontwikkelaar waarschuwde. Ook het Tor Project, dat de Tor-browser ontwikkelt op basis van de Firefox-code, patchte de kwetsbaarheid. Dit hoewel Schaeffer liet weten dat ESET geen bewijs had dat de Tor-browser tijdens deze hackcampagne is misbruikt.
Microsoft heeft de kwetsbaarheid in Windows op 12 november gepatcht. Beveiligingsonderzoekers van Google’s Threat Analysis Group, die onderzoek doet naar door overheden gesteunde cyberaanvallen en dreigingen, rapporteerden de bug aan Microsoft. Dit suggereert dat de exploit mogelijk ook is gebruikt in andere door overheden gesteunde hackcampagnes.