Hacker'lar güvenlik açığını seviyor

ESET araştırmacıları, Mozilla ürünlerinde daha önce bilinmeyen güvenlik açığı CVE-2024-9680'in Rusya'ya bağlı APT grubu RomCom tarafından kullanıldığını keşfetti. Yapılan analizler, Windows'ta başka güvenlik açığını ortaya çıkardı: CVE-2024-49039 olarak atanan ayrıcalık yükseltme hatası. Başarılı bir saldırıda, bir kurban açığı içeren web sayfasına göz atarsa düşman herhangi bir kullanıcı etkileşimi gerekmeden (sıfır tıklama) keyfi kod çalıştırabilir, bu RomCom'un arka kapısının kurbanın bilgisayarına yüklenmesine yol açar. Grup tarafından kullanılan arka kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. ESET Research tarafından 8 Ekim'de keşfedilen Mozilla ile ilgili kritik güvenlik açığı, 0 ile 10 arasında bir ölçekte 9,8 CVSS puanına sahip. RomCom, 2024 yılında Ukrayna ve diğer Avrupa ülkelerinin yanı sıra Amerika Birleşik Devletleri'nde de etkili oldu. ESET telemetrisine göre, 10 Ekim 2024'ten 4 Kasım 2024'e kadar, istismarı barındıran web sitelerini ziyaret eden potansiyel kurbanlar çoğunlukla Avrupa ve Kuzey Amerika'da bulunuyordu.

8 Ekim 2024'de ESET araştırmacıları CVE-2024-9680 güvenlik açığını keşfetti. Firefox'taki animasyon zaman çizelgesi özelliğinde use-after-free hatası. Mozilla açığı 9 Ekim 2024 tarihinde kapattı. Analiz, Windows'ta başka bir sıfır gün güvenlik açığını ortaya çıkardı: Kodun Firefox'un sanal alanının dışında çalışmasına izin veren ve şimdi CVE 2024 49039 olarak atanan ayrıcalık yükseltme hatası. Microsoft bu ikinci güvenlik açığı için 12 Kasım 2024'de yama yayımladı. 8 Ekim'de keşfedilen CVE-2024-9680 güvenlik açığı, Firefox, Thunderbird ve Tor Browser'ın savunmasız sürümlerinin tarayıcının kısıtlı bağlamında kod yürütmesine izin veriyor. Windows'ta bilinmeyen, CVSS puanı 8.8 olan CVE-2024-49039 açığı zincirleme olarak, oturum açan kullanıcı keyfi kod çalıştırılabilir. İki sıfırıncı gün açığının buluşturulması RomCom'a kullanıcı etkileşimi gerektirmeyen istismar olanağı sağlamıştı. Bu karmaşıklık seviyesi, tehdit aktörünün gizli yetenekler elde etme veya geliştirme niyetini ve araçlarını göstermektedir. Ayrıca başarılı istismar girişimleri RomCom arka kapısını yaygın bir kampanya gibi görünen bir şekilde teslim etti.

RomCom seçilmiş iş sektörlerine karşı fırsatçı kampanya, hedefli casusluk operasyonları yürüten Rusya'ya bağlı bir grup. Odak noktası, geleneksel siber suç operasyonlarına paralel istihbarat toplayan casusluk operasyonlarını da içerecek şekilde değişmiştir. ESET, 2024 yılında RomCom'un Ukrayna'da devlet kurumlarına, savunma ve enerji sektörlerine, ABD'de ilaç ve sigorta sektörlerine, Almanya'da hukuk sektörüne ve Avrupa'da devlet kurumlarına yönelik siber casusluk ve siber suç operasyonlarını keşfetti.

Her iki güvenlik açığını keşfeden ESET araştırmacısı Damien Schaeffer "Tehlike zinciri, potansiyel kurbanı istismarı barındıran sunucuya yönlendiren sahte web sitesinden oluşuyor ve istismarın başarılı olması durumunda, RomCom arka kapısını indiren ve çalıştıran kabuk kodu çalıştırılıyor. Sahte web sitesinin bağlantısının nasıl dağıtıldığını bilmiyoruz ancak sayfaya savunmasız tarayıcı kullanılarak ulaşılırsa yük bırakılır ve kurbanın bilgisayarında kullanıcı etkileşimi gerekmeden çalıştırılır. Mozilla'daki ekibe duyarlı oldukları için teşekkür etmek istiyoruz” dedi.