กลุ่มภัยคุกคาม RomCom โจมตีช่องโหว่ใน Firefox และ Windows ส่งมัลแวร์ขั้นสูงโจมตีเหยื่อ

422/67 (IT) ประจำวันพุธที่ 27 พฤศจิกายน 2567

กลุ่มผู้ก่อภัยคุกคามไซเบอร์ที่ได้รับการสนับสนุนจากรัสเซีย ชื่อ RomCom ถูกพบว่ามีการใช้ช่องโหว่ร้ายแรงใน Mozilla Firefox และ Microsoft Windows เพื่อโจมตีระบบของเหยื่อด้วยมัลแวร์ประเภทแบ็คดอร์ที่มีชื่อเดียวกัน การโจมตีดังกล่าวเน้นการใช้ช่องโหว่ที่สามารถสั่งรันโค้ดอันตรายได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้ การโจมตีครั้งนี้เกี่ยวข้องกับช่องโหว่ที่สำคัญ 2 รายการ ได้แก่ 

    – CVE-2024-9680 (คะแนน CVSS: 9.8)  ช่องโหว่ในส่วน Animation ของ Firefox ซึ่งได้รับการแก้ไขแล้วในเดือนตุลาคม 2024 

    – CVE-2024-49039 (คะแนน CVSS: 8.8) – ช่องโหว่ใน Windows Task Scheduler ที่อนุญาตให้ผู้โจมตีเพิ่มสิทธิ์ของตนเองในระบบ (ได้รับการแก้ไขโดย Microsoft ในเดือนพฤศจิกายน 2024) 

ช่องโหว่เหล่านี้ถูกใช้ร่วมกันในกระบวนการโจมตี โดยมีการใช้ช่องโหว่ของ Firefox เพื่อหลบเลี่ยงการป้องกันแบบแซนด์บ็อกซ์ และช่องโหว่ของ Windows Task Scheduler เพื่อเพิ่มสิทธิ์ในการเข้าถึงระบบ โดยบริษัท ESET รายงานว่า กลุ่ม RomCom ใช้เว็บไซต์ปลอม ที่มีลักษณะคล้ายแหล่งข้อมูลที่เชื่อถือได้ เช่น “economistjournal[.]cloud” เพื่อหลอกล่อเหยื่อ เมื่อผู้ใช้ที่ใช้ Firefox เวอร์ชันที่มีช่องโหว่เยี่ยมชมเว็บไซต์นี้ ระบบจะถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดมัลแวร์ โดยมีกระบวนการโจมตีมีลำดับขั้นตอนที่ซับซ้อน ดังนี้

    1. การเยี่ยมชมเว็บไซต์ที่โจมตีจะทำให้เชลล์โค้ดในระบบของเหยื่อเริ่มทำงาน 

    2. เชลล์โค้ดนี้ประกอบด้วยสองส่วน: ส่วนหนึ่งเพื่อดึงข้อมูล และอีกส่วนเพื่อเรียกใช้งานเพย์โหลด 

    3. มัลแวร์ RomCom RAT จะถูกดาวน์โหลดและติดตั้งในระบบ โดยสามารถสั่งรันคำสั่งจากระยะไกลและดาวน์โหลดโมดูลเพิ่มเติมได้     

ESET ระบุว่า การโจมตีของ RomCom ส่วนใหญ่ส่งผลกระทบต่อเหยื่อในยุโรปและอเมริกาเหนือ โดยเฉพาะองค์กรและหน่วยงานที่อาจเป็นแหล่งข้อมูลสำคัญ นอกจากนี้ ช่องโหว่ CVE-2024-49039 ยังถูกค้นพบและรายงานโดย Google Threat Analysis Group (TAG) ซึ่งชี้ให้เห็นว่าอาจมีผู้ก่อภัยคุกคามอื่น ๆ ใช้ประโยชน์จากช่องโหว่นี้ด้วย โดยนี่เป็นครั้งที่สองที่ RomCom ใช้ช่องโหว่แบบ zero-day ในการโจมตี หลังจากที่เคยใช้ช่องโหว่ CVE-2023-36884 ผ่าน Microsoft Word เมื่อเดือนมิถุนายน 2023

แหล่งข่าว https://thehackernews.com/2024/11/romcom-exploits-zero-day-firefox-and.html