Mise à jour du 30 novembre 2024 : Cet article, initialement publié le 29 novembre, comprend désormais plus de détails sur Storm-0978, les distributeurs de RomCom et les acteurs menaçants à l’origine de la cyberattaque sans clic Firefox et Windows à multiples vulnérabilités.
Une cyberattaque associant deux vulnérabilités de sécurité Zero Day, l’une avec un indice de gravité de 9,8 et l’autre de 8,8, a été confirmée par des chercheurs en sécurité comme étant le fait d’un groupe de menaces connu, parrainé par l’État russe, appelé RomCom, du nom de la famille de logiciels malveillants qu’il exploite. La cyberattaque, utilisant ces vulnérabilités de sécurité jusqu’alors inconnues, a exploité à la fois le navigateur Web Mozilla Firefox et Windows lui-même afin d’installer une porte dérobée capable d’exécuter des commandes et de télécharger d’autres logiciels malveillants sur l’ordinateur cible. Voici ce que nous savons de l’attaque de piratage RomCom contre les utilisateurs Windows.
La cyberattaque RomCom Zero-Click expliquée
Avec des victimes potentielles principalement situées en Europe et en Amérique du Nord, des chercheurs en sécurité d’ESET ont publié une analyse détaillée de ce qu’ils ont qualifié de campagne généralisée. Pour avoir une idée de l’ampleur de cette cyberattaque, elle impliquait l’utilisation non pas d’une mais de deux vulnérabilités zero-day enchaînées dans un puissant exploit qui pourrait finir par installer une porte dérobée contrôlée par des pirates informatiques russes sur les ordinateurs Windows.
La vulnérabilité Mozilla, CVE-2024-9680avec une gravité des vulnérabilités et des risques d’exposition extrêmement élevée, réprimandée de 9,8 sur 10, était une faille de mémoire d’utilisation après libération dans la fonctionnalité de chronologie d’animation de Firefox. Pendant ce temps, le Zero Day de Windows, CVE‑2024‑49039noté 8,8 sur 10, était une faille de privilège d’escalade qui pouvait permettre à un code malveillant de fonctionner en dehors du bac à sable de sécurité du navigateur Mozilla Firefox. Enchaîner ces deux éléments ensemble, dans ce qui était un exploit sans clic, est à peu près aussi proche d’un indice de danger de 10 sur 10 que je puisse l’imaginer.
« La chaîne de compromission est composée d’un faux site Web qui redirige la victime potentielle vers le serveur hébergeant l’exploit, et si l’exploit réussit, un shellcode est exécuté qui télécharge et exécute la porte dérobée RomCom », Damien Schaeffer, le chercheur d’ESET qui a découvert les deux vulnérabilités. , dit.
Que sait-on de la tempête 0978, également connue sous le nom de RomCom, l’acteur menaçant derrière la cyberattaque zéro clic
L’acteur menaçant derrière la chaîne d’exploitation sans clic de Firefox et Windows qui installe une porte dérobée sur les systèmes Windows est connu sous le nom de RomCom, mais il porte également de nombreux autres noms. Également connu sous les noms de Storm-0978, Tropical Scorpius et UNC2596, RomCom est un « groupe aligné sur la Russie qui mène à la fois des campagnes opportunistes contre certains secteurs d’activité et des opérations d’espionnage ciblées », selon le rapport d’ESET.
Outre le ciblage désormais prévisible des secteurs du gouvernement, de la défense et de l’énergie en Ukraine par un groupe menaçant affilié à la Russie, RomCom a également ciblé les secteurs pharmaceutique et des assurances aux États-Unis ; le secteur juridique en Allemagne ; et les entités gouvernementales en Europe.
« L’orientation du groupe a changé pour inclure les opérations d’espionnage collectant des renseignements », a déclaré ESET, « en parallèle avec ses opérations de cybercriminalité plus conventionnelles ».
Renseignements sur les menaces provenant de le groupe Palo Alto Unit 42 publié en septembre 2024, a découvert des souches de logiciels malveillants RomCom remontant à décembre 2023, mais a noté que l’auteur de la menace utilisait activement le logiciel malveillant depuis au moins 2022. « RomCom RAT est une famille de logiciels malveillants qui a évolué au fil des ans pour inclure différentes fonctionnalités et « Ils utilisent des méthodes d’attaque », ont déclaré Yaron Samuel et Dominik Reichel, chercheurs de l’Unité 42, « ils se livrent à des ransomwares, à l’extorsion et à la collecte ciblée d’informations d’identification, susceptibles de soutenir des opérations de collecte de renseignements ».
Mettre un terme à la cyberattaque RomCom exigeait une action rapide
Les deux vulnérabilités ont maintenant été corrigées par leurs fournisseurs respectifs, et Schaeffer a particulièrement remercié l’équipe de Mozilla « pour sa grande réactivité et pour avoir souligné son impressionnante éthique de travail pour publier un correctif en une journée ». Le la vulnérabilité dans Firefox a été corrigée le 9 octobre après avoir été signalé le 8 octobre.
La vulnérabilité Windows, quant à elle, a été corrigée dans le cadre du dernier tour d’horizon de sécurité du Patch Tuesday du 12 novembre. Bien que cela semble, à première vue, être un retard inquiétant, rappelez-vous qu’il s’agissait d’un exploit de cyberattaque en chaîne nécessitant que les deux vulnérabilités non corrigées soient corrigées. existent pour être exploités avec succès.
Cependant, ce n’est pas le moment de vous asseoir sur vos lauriers et de penser que le danger des cyberattaques est écarté, surtout si vous n’êtes pas au courant de la mise à jour de vos logiciels et de votre système d’exploitation, comme l’a déclaré Mike Walters, président et co-fondateur d’Action1. « Les techniques d’exploitation utilisées par les attaquants de RomCom présentent des risques notables pour d’autres organisations, mettant en évidence plusieurs vulnérabilités et vecteurs d’attaque potentiels. Walters a poursuivi en déclarant que les organisations exécutant des versions obsolètes de logiciels, telles que Firefox ou Windows, qui n’ont pas été corrigées depuis des temps connus. les vulnérabilités sont « à risque important ».