RomCom grubu kullanıcı etkileşimi olmadan sistemlere sızabiliyor! ESET, Mozilla ve Windows’ta Kritik Sıfırıncı Gün Açıkları Tespit Etti! Siber güvenlik alanında faaliyet gösteren ESET Research, biri Mozilla ürünlerinde, diğeri ise Windows işletim sisteminde olmak üzere daha önce bilinmeyen iki kritik güvenlik açığı keşfetti. Bu açıkların Rusya bağlantılı RomCom APT (Gelişmiş Kalıcı Tehdit) grubu tarafından istismar edildiği tespit edildi.
ESET’in 8 Ekim 2024’te Mozilla’ya bildirdiği CVE-2024-9680 kodlu açık, Firefox tarayıcısındaki animasyon zaman çizelgesi bileşeninde bulunan bir use-after-free hatasıydı. Mozilla, bu kritik açığı yalnızca bir gün içerisinde kapatarak dikkat çekici bir hızla yama yayımladı. ESET’in aynı süreçte yaptığı ileri düzey analizler, Windows platformunda da Firefox’un sanal alan korumasını aşan CVE-2024-49039 kodlu ayrıcalık yükseltme açığını ortaya koydu. Microsoft, bu güvenlik zafiyeti için 12 Kasım 2024’te bir güncelleme sundu.
RomCom Sıfır Tıklama Saldırılarla Hedef Alıyor
Tespit edilen güvenlik açıkları, saldırganların kullanıcı herhangi bir işlem yapmadan — yani sıfır tıklama saldırısıyla — kötü amaçlı yazılımları çalıştırmasına olanak tanıyor. CVE-2024-9680, Firefox, Thunderbird ve Tor Browser gibi Mozilla tabanlı yazılımların sanal alanı içinde zararlı kod çalıştırılmasını mümkün kılarken; Windows’taki CVE-2024-49039 açığı, bu kodun tarayıcıyı aşarak işletim sistemi seviyesinde çalışmasına izin veriyor.
Bu iki açığın zincirleme kullanımı, RomCom grubuna sisteme derinlemesine sızma fırsatı sundu. Saldırı süreci, kurbanın sahte bir web sitesine yönlendirilmesiyle başlıyor ve açığın bulunduğu tarayıcı üzerinden, kullanıcı farkında bile olmadan RomCom’un özel olarak geliştirdiği arka kapı yazılımı yükleniyor. Bu yazılım, komut çalıştırma, veri toplama ve sisteme ek bileşen indirme gibi yeteneklere sahip.
RomCom: Hedefli Casuslukta Etkili Bir Siber Tehdit
RomCom, aynı zamanda Storm-0978, Tropical Scorpius veya UNC2596 isimleriyle de bilinen bir tehdit grubu. Grubun 2024 yılı boyunca özellikle Ukrayna’daki kamu kurumları, Avrupa’daki devlet daireleri, ABD’deki ilaç ve sigorta sektörleri ile Almanya’daki hukuk firmalarına yönelik hedefli siber casusluk faaliyetleri yürüttüğü ESET tarafından belgelendi.
RomCom’un saldırılarında, istismarı taşıyan sahte web sitelerinin tam olarak nasıl dağıtıldığı bilinmese de, savunmasız bir tarayıcı ile bu sitelere erişen kullanıcılar risk altına giriyor. CVSS ölçeğinde 9.8 puanla değerlendirilen Mozilla açığı ve 8.8 puanla derecelendirilen Windows açığı, bu tehdidin ciddiyetini ortaya koyuyor.
Hızlı Müdahale ve Güçlü İşbirliği
ESET araştırmacısı Damien Schaeffer, saldırının teknik detaylarını paylaşırken, Mozilla ekibinin hızlı yanıtını övdü:
“Tehlike zinciri sahte bir siteye yönlendirme, ardından istismar ve yük indirme adımlarından oluşuyor. Mozilla ekibine bir gün içinde yama sundukları için teşekkür ediyoruz.”
Microsoft da benzer şekilde süreci hızlıca değerlendirerek 12 Kasım’da CVE-2024-49039 için gerekli güncellemeyi yayınladı. Her iki güvenlik açığı da şu anda kapatılmış durumda olsa da, kullanıcıların tarayıcılarını ve işletim sistemlerini güncel tutmaları büyük önem taşıyor.
Diğer teknoloji haberlerimiz burada
