Aktor ancaman yang bersekutu dengan Rusia dikenal sebagai RomCom telah dikaitkan dengan eksploitasi zero-day terhadap dua kelemahan keamanan, satu di Mozilla Firefox dan yang lainnya di Microsoft Windows, sebagai bagian dari serangan yang dirancang untuk memberikan pintu belakang (backdoor) pada sistem korban.
“Dalam serangan yang berhasil, jika korban menelusuri halaman web yang berisi eksploitasi, musuh dapat menjalankan kode arbitrer – tanpa memerlukan interaksi pengguna apa pun (nol klik) – yang dalam hal ini menyebabkan pemasangan pintu belakang RomCom di komputer korban, kata ESET dalam laporan yang dibagikan kepada The Hacker News.
Kerentanan yang dimaksud tercantum di bawah ini –
- CVE-2024-9680 (Skor CVSS: 9.8) – Kerentanan penggunaan setelah bebas di komponen Animasi Firefox (Ditambal oleh Mozilla pada Oktober 2024)
- CVE-2024-49039 (Skor CVSS: 8.8) – Kerentanan eskalasi hak istimewa di Penjadwal Tugas Windows (Ditambal oleh Microsoft pada November 2024)
RomCom, juga dikenal sebagai Storm-0978, Tropical Scorpius, UAC-0180, UNC2596, dan Void Rabisu, memiliki rekam jejak dalam melakukan operasi kejahatan dunia maya dan spionase setidaknya sejak tahun 2022.
Serangan-serangan ini terkenal karena penyebaran RomCom RAT, sebuah malware yang dipelihara secara aktif yang mampu menjalankan perintah dan mengunduh modul tambahan ke mesin korban.
Rantai serangan yang ditemukan oleh perusahaan keamanan siber Slovakia melibatkan penggunaan situs web palsu (economistjournal[.]cloud) yang bertanggung jawab mengarahkan calon korban ke server (redjournal[.]cloud) menghosting muatan berbahaya yang, pada gilirannya, menyatukan kedua kelemahan tersebut untuk mencapai eksekusi kode dan menghapus RomCom RAT.
Saat ini tidak diketahui bagaimana tautan ke situs web palsu didistribusikan, namun ditemukan bahwa eksploitasi dipicu jika situs tersebut dikunjungi dari versi browser Firefox yang rentan.
“Jika korban menggunakan browser yang rentan mengunjungi halaman web yang menyajikan eksploitasi ini, kerentanan akan terpicu dan shellcode dieksekusi dalam proses konten,” jelas ESET.
“Shellcode terdiri dari dua bagian: bagian pertama mengambil bagian kedua dari memori dan menandai halaman yang memuatnya sebagai dapat dieksekusi, sedangkan bagian kedua mengimplementasikan pemuat PE berdasarkan proyek sumber terbuka Shellcode Reflective DLL Injection (RDI).”
Hasilnya adalah pelarian sandbox untuk Firefox yang pada akhirnya mengarah pada pengunduhan dan eksekusi RomCom RAT pada sistem yang disusupi. Hal ini dicapai melalui perpustakaan tertanam (“PocLowIL”) yang dirancang untuk keluar dari proses konten kotak pasir browser dengan memanfaatkan kelemahan Penjadwal Tugas Windows untuk mendapatkan hak istimewa yang lebih tinggi.
Data telemetri yang dikumpulkan ESET menunjukkan bahwa mayoritas korban yang mengunjungi situs hosting eksploitasi berada di Eropa dan Amerika Utara.
Fakta bahwa CVE-2024-49039 ditemukan secara independen dan dilaporkan ke Microsoft oleh Grup Analisis Ancaman (TAG) Google menunjukkan bahwa lebih dari satu pelaku ancaman mungkin telah mengeksploitasinya sebagai zero-day.
Perlu dicatat juga bahwa ini adalah kedua kalinya RomCom kedapatan mengeksploitasi kerentanan zero-day secara liar, setelah penyalahgunaan CVE-2023-36884 melalui Microsoft Word pada Juni 2023.
“Menggabungkan dua kerentanan zero-day mempersenjatai RomCom dengan eksploitasi yang tidak memerlukan interaksi pengguna,” kata ESET. “Tingkat kecanggihan ini menunjukkan kemauan dan cara pelaku ancaman untuk memperoleh atau mengembangkan kemampuan tersembunyi.”