RomCom, Mozilla의 제로데이 취약점 악용

연구원들이 이전에 알려지지 않았던 Mozilla 및 Microsoft 제품에서 러시아 연계 해커 그룹인 RomCom이 악용한 취약점을 발견했습니다. 이 치명적인 취약점은 Firefox, Thunderbird 및 Tor 브라우저와 같은 제한된 컨텍스트에서 코드 실행을 허용하며 CVSS 점수 9.8이 할당되었습니다. 8.8점을 받은 Windows의 또 다른 취약점은 로그인한 사용자의 컨텍스트에서 임의 코드 실행을 허용하는 권한을 상승시킵니다. 2024년 10월 8일, 연구원들은 Mozilla 제품에서 제로데이 취약점을 확인했습니다.

분석 결과 Mozilla는 10월 9일에 신속하게 패치한 Firefox의 애니메이션 타임라인 기능에서 use-after-free 버그를 발견했습니다. 추가 분석을 통해 Microsoft가 11월 12일에 패치한 권한 상승 버그인 Windows의 두 번째 취약점이 밝혀졌습니다. 이러한 결합된 공격은 광범위한 캠페인에서 RomCom 백도어를 전달했습니다.

RomCom(일명 Storm-0978, Tropical Scorpius 또는 UNC2596)은 비즈니스 분야에 대한 기회주의적 공격과 표적 스파이 활동으로 잘 알려져 있습니다. 백도어는 명령을 실행하고 추가 악성 모듈을 다운로드할 수 있습니다. 감염 체인은 피해자를 익스플로잇을 호스팅하는 서버로 리디렉션하는 가짜 웹사이트에서 시작됩니다.

성공하면 쉘코드는 사용자 개입 없이 RomCom 백도어를 실행하고 피해자의 컴퓨터에 다운로드합니다. 이 익스플로잇은 ‘window.location.href’를 통한 JavaScript 리디렉션을 사용하여 원래의 합법적인 웹 사이트로 리디렉션되기 전에 코드 실행 시간을 제공하여 피해자가 공격을 감지할 가능성을 줄입니다. 10월 10일부터 10월 16일까지 수많은 C&C(명령 및 제어) 서버가 익스플로잇을 호스팅하는 것으로 나타났습니다.

이들 서버는 아래와 같이 의심을 피하기 위해 합법적인 사이트와 유사한 도메인 이름을 사용했습니다.

| 가짜 서버 | 최종 리디렉션 | 웹사이트 목적 |
|————-|——————-|—————–|
| redircordictiv(.)com | Correctiv.org | 비영리 뉴스룸 |
| devolredir(.)com | devolutions.net | 원격 액세스 솔루션 |
| redirconnectwise(.)클라우드 | connectwise.com | IT 관리 소프트웨어 |

발견된 취약점은 다음 사항에 중점을 둡니다.

– **CVE-2024-9680**: 브라우저의 콘텐츠 프로세스에서 코드 실행을 허용하는 Firefox 애니메이션 타임라인의 use-after-free 취약점입니다.

새로운 제로데이 취약점 악용

– **주요 JavaScript 파일에 의해 트리거됨**: RomCom 백도어를 다운로드하고 실행하기 위해 Firefox 버전과 샌드박스 이스케이프를 이용하는 특정 스크립트(예: `main-128.js`, `main-129.js`).

원격 측정 결과에 따르면 개인부터 대규모 그룹에 이르기까지 잠재적 피해자는 주로 유럽과 북미에 위치해 있었습니다. 1. **2024년 10월 8일:**
– 취약점의 발견 및 초기 분석.

– Mozilla에 취약점이 보고되었습니다. – Mozilla는 취약점을 인정하고 할당했습니다. 2.

**2024년 10월 9일:**
– Mozilla는 Firefox 및 Tor 브라우저의 취약점을 패치했습니다. – 영향을 받는 추가 버전은 이후 며칠 동안 패치되었습니다. 3.

**2024년 11월 12일:**
– Microsoft는 관련 Windows 취약점을 패치했습니다. 취약성을 패치하는 신속한 조치는 제로데이 위협을 완화하는 데 있어서 신속한 대응의 중요성을 강조합니다. RomCom 그룹의 이러한 취약점 악용은 사이버 위협의 지속적인 진화와 정교함을 강조합니다.

보안 연구원과 소프트웨어 공급업체 간의 협력은 이러한 영향력이 큰 공격을 방어하는 데 여전히 중요합니다.