Nhóm hacker RomCom, được cho là có liên kết với Nga, đã khai thác hai lỗ hổng Zero-Day nguy hiểm trong Firefox và Windows để thực hiện các cuộc tấn công mạng tinh vi, cài đặt phần mềm độc hại RomCom RAT vào hệ thống nạn nhân.

CVE-2024-9680 (CVSS: 9.8): Lỗ hổng UAF trong tính năng Animation Timelines của Firefox, cho phép chỉnh sửa và gỡ lỗi các hoạt ảnh trong trình duyệt, thực thi mã mà không cần tương tác của người dùng

CVE-2024-49039 (CVSS: 8.8): Lỗ hổng leo thang đặc quyền trong Windows Task Scheduler, cho phép chiếm quyền kiểm soát hệ thống, thực thi mã với quyền Medium integrity.

RomCom sử dụng trang web giả (economistjournal[.]cloud) để dẫn nạn nhân đến một máy chủ độc hại, nơi mã khai thác được thực thi tự động nếu người dùng sử dụng phiên bản Firefox dễ bị tấn công. 

Quá trình tấn công gồm thoát sandbox của Firefox để thực thi mã độc trên trình duyệt sau đó tiến hành khai thác Windows Task Scheduler bằng cách nâng quyền truy cập, cài đặt RomCom RAT để kiểm soát hệ thống từ xa.

Dữ liệu từ ESET cho thấy nạn nhân chủ yếu ở châu Âu và Bắc Mỹ. Việc kết hợp hai lỗ hổng Zero-Day giúp RomCom thực hiện chuỗi tấn công mà không cần tương tác của người dùng, nâng cao tính tinh vi và hiệu quả.

Người dùng được khuyến cáo nên cập nhật ngay Firefox và Windows lên phiên bản mới nhất để tránh các cuộc tấn công. Các tổ chức cần giám sát các hoạt động mạng bất thường và áp dụng biện pháp bảo mật nâng cao.

Nguồn: The hacker news