Rusya merkezli RomCom siber suç grubu, son saldırılarında Firefox ve Tor Browser kullanıcılarını hedef aldı. Korsanlar iki sıfırıncı gün açığını zincirleme şekilde kullanarak büyük bir tehdit oluşturdu. Bu açıklar, Avrupa ve Kuzey Amerika’daki pek çok kullanıcıyı etkiledi ve ciddi güvenlik riskleri oluşturdu.
İlk açık, CVE-2024-9680 numaralı Firefox’un animasyon zaman çizelgesi özelliğinde bulunan bir kullanım sonrasındaki bellek hatası (use-after-free) açık olup, bu açık web tarayıcısının sandbox’ında kod çalıştırılmasına olanak tanıyor. Mozilla, bu açığı 9 Ekim 2024’te, ESET’in raporlamasından sadece bir gün sonra düzeltti.
İkinci açık ise, CVE-2024-49039 numaralı yükseltme hatasından kaynaklandı. Windows Görev Zamanlayıcısı hizmetindeki zafiyetten yararlanarak saldırganların Firefox ve Tor Browser dışındaki sandbox’ta kod çalıştırmalarını sağlıyor. Microsoft, bu güvenlik açığını 12 Kasım 2024’te düzeltti.
RomCom grubu, her iki açığı bir arada kullanarak, kullanıcı etkileşimi olmadan uzaktan kod çalıştırılmasını sağladı. Bu, saldırganların yalnızca zararlı bir web sitesini ziyaret etmeleriyle mümkün hale geldi. Kullanıcılar bu tür bir siteyi ziyaret ettiklerinde, sistemlerine RomCom arka kapı yazılımı indirildi ve çalıştırıldı.
RomCom Saldırı Akışı RomCom’un saldırı akışı, kurbanın sahte bir web sitesine yönlendirilmesiyle başlıyor. Bu site, açılan sayfa üzerinden saldırı kodlarını barındıran sunucuya yönlendiriyor ve başarılı olursa, şifreli kod çalıştırılır ve RomCom arka kapısı cihazda aktif edilir. Bu saldırının başarıya ulaşabilmesi için kullanıcıdan herhangi bir etkileşim gerekmiyor.
RomCom malware’ı sistemde çalıştıktan sonra, saldırganlar, komutlar çalıştırmak ve ek payload’lar yüklemek için sistemi uzaktan kontrol edebiliyorlar. ESET’in araştırmalarına göre, RomCom grubu, son saldırılarında Ukrayna, Avrupa ve Kuzey Amerika’daki çeşitli sektörlerdeki kuruluşları hedef almış durumda. Hedeflenen sektörler arasında hükümet, savunma, enerji, ilaç ve sigorta yer alıyor.
RomCom’un bu tür sıfırıncı gün açıklarıyla saldırılar düzenlemesi, grubun ileri düzeyde sofistike yeteneklere sahip olduğunu ve hedeflerine ulaşmak için güçlü gizlilik stratejileri geliştirdiğini gösteriyor.
RomCom Grubunun Hedefleri ve Geçmişi RomCom, daha önce de sıfırıncı gün açıkları kullanarak benzer saldırılar gerçekleştirmişti. 2023’ün Temmuz ayında, NATO Zirvesi’ne katılan kuruluşları hedef almıştı. Bu saldırı CVE-2023-36884 numaralı açık üzerinden yapılmıştı. RomCom, ayrıca finansal motive operasyonlar, fidye yazılımları ve kimlik bilgisi hırsızlıklarıyla tanınan bir grup olarak biliniyor.
Son dönemde, RomCom’un saldırılarının hedefi, Avrupa ve Ukrayna hükümetleri, enerji ve savunma sektörlerindeki kuruluşlar oldu. ESET, grubun endüstriyel casusluk operasyonlarına doğru kaymaya başladığının da altını çizdi.