Österreich
Argentina 
Australia 
Brazil 
Canada 
Germany 
Ireland 
Italy 
Malaysia 
Mexico 
New Zealand 
Poland 
South Africa 
United Kingdom 
United States Ohne Nutzerinteraktion: RomCom infiziert Windows über Firefox
Die russische Cybercrime-Gruppe RomCom hat zwei Zero-Day-Schwachstellen ausgenutzt, um gezielte Angriffe auf Firefox- und Tor-Browser-Nutzer in Europa und Nordamerika durchzuführen.
Die Sicherheitsforscher von ESET haben die ausgefeilte Angriffskette aufgedeckt. Die erste Schwachstelle (CVE-2024-9680) ist ein Use-after-Free-Bug in der Animation-Timeline-Funktion von Firefox. Diese ermöglicht die Ausführung von Code innerhalb der Browser-Sandbox. Mozilla reagierte prompt und veröffentlichte bereits einen Tag nach der Meldung durch ESET am 9. Oktober 2024 einen Patch.
Die zweite ausgenutzte Zero-Day-Lücke (CVE-2024-49039) betrifft den Windows Task Scheduler. Diese Privilege-Escalation-Schwachstelle ermöglicht es Angreifern, Code außerhalb der Firefox-Sandbox auszuführen. Microsoft hat das Sicherheitsproblem am 12. November mit einem Update behoben. Die Sicherheitsupdates sollten dringend installiert werden.
Die Kombination beider Schwachstellen ermöglichte es den Angreifern, ohne jegliche Nutzerinteraktion Schadcode auf den Zielsystemen auszuführen. „Die Angriffskette besteht aus einer gefälschten Website, die das potenzielle Opfer zum Exploit-Server weiterleitet. Bei erfolgreicher Ausführung wird Shellcode ausgeführt, der die RomCom-Backdoor herunterlädt und startet“, erläutert ESET-Forscher Damien Schaeffer. Auch Nutzer des Tor-Browsers (Version 12 und 13) waren offenbar betroffen.
Bekannte Tätergruppe
Die Telemetrie-Daten von ESET deuten auf eine breit angelegte Kampagne hin. Je nach Land wurden zwischen einem und 250 erfolgreiche Angriffe registriert. Deutschland gehört ebenfalls zu den Zielen.
RomCom, die auch unter den Namen Storm-0978, Tropical Scorpius oder UNC2596 bekannt ist, machte bereits im Juli 2023 Schlagzeilen. Damals nutzte die Gruppe eine Windows/Office-Zero-Day-Lücke (CVE-2023-36884) für Angriffe auf Organisationen während des NATO-Gipfels in Vilnius. Die Gruppe wurde zudem mit der Ransomware-Operation Industrial Spy in Verbindung gebracht, die mittlerweile unter dem Namen Underground ransomware operiert.
Nach Erkenntnissen von ESET hat RomCom ihre Aktivitäten auf Spionageangriffe gegen Organisationen in der Ukraine, Europa und Nordamerika ausgeweitet. Im Fokus stehen dabei besonders Regierungseinrichtungen, Verteidigungsunternehmen, Energieversorger sowie Unternehmen aus der Pharma- und Versicherungsbranche.
