RomCom exploite des failles zero day de Windows et Firefox pour espionnage

par | Jan 17, 2025 | Tech | 0 commentaires

L

Des experts d’Eset ont révélé la façon de procéder d’un collectif APT ayant des liens avec la Russie. Ce dernier exploite des vulnérabilités majeures dans Windows et Firefox afin de conduire les victimes sur des sites internet sous le contrôle de pirates informatiques.

Le mois dernier, un groupe associé à la Russie a lancé des opérations de cybercriminalité et d’espionnage en utilisant un exploit sans clic qui combine des vulnérabilités dans l’OS Windows et le navigateur Firefox. Plusieurs ordinateurs en Europe et en Amérique du Nord ont été infectés. Le but de la campagne était de déployer l’implant RomCom, qui donne son nom au groupe APT. Ce groupe est également connu sous d’autres noms, tels que Storm-0978, Tropical Scorpius et UNC2596. Il est soupçonné d’avoir mené aussi bien des attaques opportunistes contre divers secteurs d’activité que des opérations ciblées de collecte de renseignements, notamment contre des entités gouvernementales ukrainiennes et des pays qui soutiennent l’Ukraine.

Les chercheurs d’Eset ont récemment publié un rapport sur les campagnes RomCom contre les secteurs gouvernementaux, de la défense et de l’énergie en Ukraine, l’industrie pharmaceutique et les assurances aux États-Unis, des activités juridiques en Allemagne et diverses organisations gouvernementales européennes. La dernière campagne d’octobre, qui utilisait l’exploit « zero-day », semblait cibler le monde entier, avec une concentration particulière sur l’UE et les États-Unis. Les experts soulignent que c’est « au moins la deuxième fois que RomCom est surpris en train d’exploiter une vulnérabilité zero-day significative en direct, après l’exploitation de la faille CVE-2023-36884 via Microsoft Word en juin 2023 ».

Une vulnérabilité d’exécution de code à distance exploitée dans Firefox

Les dernières attaques ont été menées via des redirections de sites Web malveillants contre les utilisateurs de Firefox ou de Tor Browser (qui est basé sur Firefox) sur Windows. On ne sait pas exactement comment les utilisateurs ont été redirigés vers les URL contrôlées par les attaquants, mais les domaines utilisés pour l’exploit comportaient le préfixe « redir » ou le suffixe « red » attaché à un domaine légitime vers lequel l’utilisateur était finalement redirigé. Par exemple, cela a été le cas pour correctiv.org, un site d’information allemand à but non lucratif, devolutions.net, un fournisseur de solutions d’accès à distance et de gestion des mots de passe, ou encore connectwise.com, un fournisseur de logiciels de gestion informatique.

A découvrir :  Tobiko Data: Qualification et sécurisation des données pour les codeurs

Lorsque la page de redirection est visitée, un script JavaScript malveillant est exécuté et exploite une vulnérabilité de type « use-after-free » dans la fonction d’animation des timelines de Firefox. Cette faille, désormais identifiée sous le nom de CVE-2024-9680, a été corrigée le 9 octobre, soit un jour après avoir été signalée à Mozilla par les chercheurs d’Eset. Considérée comme critique avec un score CVSS de 9,8, la vulnérabilité entraîne l’exécution de code à l’intérieur du processus de contenu de Firefox, plus précisément une bibliothèque DLL malveillante dans ce cas. Les chercheurs d’Eset précisent que « Mozilla a corrigé la vulnérabilité dans Firefox 131.0.2, ESR 128.3.1 et ESR 115.16.1 le 9 octobre 2024 ».

Une vulnérabilité d’élévation de privilèges dans le planificateur de tâches de Windows

Le processus de contenu de Firefox est placé dans un environnement isolé, avec un niveau de privilège non fiable, ce qui signifie que les attaquants ne pourraient pas exécuter de code sur le système d’exploitation sous-jacent avec la seule vulnérabilité de Firefox. Pour contourner ce processus, l’attaque RomCom a exploité une autre vulnérabilité auparavant inconnue dans le planificateur de tâches de Windows, corrigée le 12 novembre et désormais référencée sous le nom CVE-2024-49039. Les chercheurs déclarent que « la bibliothèque utilise essentiellement un point de terminaison RPC non documenté, normalement impossible à appeler à partir d’un niveau de processus non fiable, pour lancer un processus PowerShell caché qui télécharge une deuxième étape à partir d’un serveur C&C ».

Dans une seconde étape, la charge utile téléchargée par le script PowerShell est enregistrée dans le dossier %PUBLIC% sous le nom de « public.exe » et est exécutée deux fois, avec un intervalle de 10 secondes. Le rapport d’Eset comprend une liste d’indicateurs de compromission, tels que des hachages de fichiers, des adresses IP et des noms de domaine frauduleux, associés à cette campagne et à l’exploit zero click. Les chercheurs expliquent que « ce niveau de sophistication montre la volonté et les moyens de l’acteur de la menace d’obtenir ou de développer des capacités furtives ».

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *