O cenário de cibersegurança foi abalado recentemente por uma série de ataques sofisticados atribuídos ao grupo russo RomCom. Esses ataques, que visaram principalmente alvos na Europa e América do Norte, exploraram duas vulnerabilidades zero-day previamente desconhecidas no Mozilla Firefox e no Microsoft Windows[1][5].
As Vulnerabilidades Exploradas
Os pesquisadores da ESET descobriram duas falhas críticas que foram utilizadas em conjunto pelo grupo RomCom:
- CVE-2024-9680: Uma vulnerabilidade use-after-free no componente de animação do Firefox, com pontuação CVSS de 9,8[5].
- CVE-2024-49039: Uma falha de elevação de privilégios no Agendador de Tarefas do Windows, com pontuação CVSS de 8,8[5].
A combinação dessas duas vulnerabilidades permitiu aos atacantes executar código arbitrário nos sistemas das vítimas sem qualquer interação do usuário, um tipo de ataque conhecido como “zero-click”[1].
Mecânica do Ataque
O processo de ataque seguiu uma cadeia de comprometimento bem elaborada:
- As vítimas eram direcionadas para um site falso (economistjournal[.]cloud).
- Este site redirecionava para um servidor malicioso (redjournal[.]cloud).
- O servidor explorava as vulnerabilidades para executar shellcode no sistema da vítima.
- O shellcode baixava e executava o backdoor RomCom RAT[5].
É importante notar que o ataque era bem-sucedido apenas com a visita da vítima à página maliciosa, sem necessidade de interação adicional[1].
O Backdoor RomCom RAT
O RomCom RAT é uma ferramenta maliciosa mantida ativamente pelo grupo, capaz de executar comandos e baixar módulos adicionais para a máquina da vítima[5]. Este backdoor permite aos atacantes manter acesso persistente aos sistemas comprometidos e potencialmente expandir seu controle sobre a rede da vítima.
Impacto e Alcance
De acordo com a telemetria da ESET, o número de alvos potenciais variou de uma única vítima por país a até 250 vítimas[1]. Os ataques foram direcionados principalmente a organizações na Ucrânia, Europa e América do Norte, abrangendo diversos setores, incluindo governo, defesa, energia, farmacêutico e seguros[3].
Resposta dos Fabricantes
A Mozilla e a Microsoft responderam rapidamente às descobertas:
- A Mozilla corrigiu a vulnerabilidade CVE-2024-9680 em 9 de outubro de 2024, apenas um dia após o relato da ESET[5].
- A Microsoft lançou uma correção para a CVE-2024-49039 em 12 de novembro de 2024[1].
Conclusão
Este incidente destaca a crescente sofisticação dos ataques cibernéticos patrocinados por estados. A capacidade do grupo RomCom de encadear duas vulnerabilidades zero-day demonstra um nível elevado de recursos e expertise técnica[6]. É crucial que organizações e indivíduos mantenham seus sistemas e softwares atualizados e implementem medidas de segurança robustas para se proteger contra ameaças similares.
A descoberta e rápida correção dessas vulnerabilidades ressaltam a importância da colaboração entre pesquisadores de segurança e fabricantes de software na proteção do ecossistema digital global.
Citations:
[1] https://www.techtarget.com/searchsecurity/news/366616460/Russian-hackers-exploit-Firefox-Windows-zero-days-in-wild
[2] https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/
[3] https://www.bleepingcomputer.com/news/security/firefox-and-windows-zero-days-exploited-by-russian-romcom-hackers/
[4] https://therecord.media/russian-romcom-hackers-zero-days
[5] https://thehackernews.com/2024/11/romcom-exploits-zero-day-firefox-and.html
[6] https://www.welivesecurity.com/en/eset-research/romcom-exploits-firefox-and-windows-zero-days-in-the-wild/
