Siber güvenlik şirketi ESET, Rusya’ya bağlı RomCom Gelişmiş kalıcı tehdit (APT) kümesi tarafından istismar edilen, biri Mozilla’da başkası Windows’ta olmak üzere daha evvel bilinmeyen iki güvenlik açığı keşfetti.
ESET, güvenlik açığını 8 Ekim 2024 tarihinde Mozilla’ya bildirdi; bir gün içinde yamalandı. Windows’ta ortaya çıkarılan ve Firefox’un sanal alanının dışında çalışmasına müsaade veren bir ayrıcalık yükseltme yanlışını Microsoft 12 Kasım 2024 tarihinde bir yama yayımladı.
ESET araştırmacıları, Mozilla eserlerinde daha evvel bilinmeyen bir güvenlik açığı olan CVE-2024-9680’in Rusya’ya bağlı APT kümesi RomCom tarafından kullanıldığını keşfetti. Yapılan derinlemesine tahliller, Windows’ta öbür bir sıfır gün güvenlik açığını ortaya çıkardı: CVE-2024-49039 olarak atanan bir ayrıcalık yükseltme kusuru. Başarılı bir taarruzda, bir kurban açığı içeren bir web sayfasına göz atarsa bir düşman rastgele bir kullanıcı etkileşimi gerekmeden (sıfır tıklama) keyfi kod çalıştırabilir, bu durumda RomCom’un art kapısının kurbanın bilgisayarına yüklenmesine yol açar. Küme tarafından kullanılan art kapı, komutları yürütme ve kurbanın makinesine ek modüller indirme yeteneğine sahip. ESET Research tarafından 8 Ekim’de keşfedilen Mozilla ile ilgili kritik güvenlik açığı, 0 ile 10 ortasında bir ölçekte 9,8 CVSS puanına sahip. RomCom, 2024 yılında Ukrayna ve başka Avrupa ülkelerinin yanı sıra Amerika Birleşik Devletleri’nde de tesirli oldu. ESET telemetrisine nazaran, 10 Ekim 2024’ten 4 Kasım 2024’e kadar, istismarı barındıran web sitelerini ziyaret eden potansiyel kurbanlar çoğunlukla Avrupa ve Kuzey Amerika’da bulunuyordu.
Windows’ta açık giderildi
8 Ekim 2024 tarihinde ESET araştırmacıları CVE-2024-9680 güvenlik açığını keşfetti. Firefox’taki animasyon vakit çizelgesi özelliğindeki bir use-after-free yanılgısıdır. Mozilla bu açığı 9 Ekim 2024 tarihinde kapattı. Derinlemesine tahlil, Windows’ta öteki bir sıfır gün güvenlik açığını ortaya çıkardı: Kodun Firefox’un sanal alanının dışında çalışmasına müsaade veren ve artık CVE 2024 49039 olarak atanan bir ayrıcalık yükseltme kusuru. Microsoft bu ikinci güvenlik açığı için 12 Kasım 2024 tarihinde bir yama yayımladı.
8 Ekim’de keşfedilen CVE-2024-9680 güvenlik açığı, Firefox, Thunderbird ve Tor Browser’ın savunmasız sürümlerinin tarayıcının kısıtlı bağlamında kod yürütmesine müsaade veriyor. Windows’ta daha evvel bilinmeyen ve CVSS puanı 8.8 olan CVE-2024-49039 açığı ile zincirleme olarak, oturum açan kullanıcı bağlamında keyfi kod çalıştırılabilir. İki sıfırıncı gün açığının bir ortaya getirilmesi RomCom’a kullanıcı etkileşimi gerektirmeyen bir istismar imkanı sağlamıştı. Bu karmaşıklık düzeyi, tehdit aktörünün saklı yetenekler elde etme yahut geliştirme niyetini ve araçlarını göstermektedir. Ayrıyeten başarılı istismar teşebbüsleri RomCom art kapısını yaygın bir kampanya üzere görünen bir formda teslim etti.
Hedefli siber casusluk
RomCom (Storm-0978, Tropical Scorpius ya da UNC2596 olarak da bilinir), seçilmiş iş kesimlerine karşı fırsatçı kampanyalar ve gayeli casusluk operasyonları yürüten Rusya’ya bağlı bir küme. Kümenin odak noktası, daha klasik siber hata operasyonlarına paralel olarak istihbarat toplayan casusluk operasyonlarını da içerecek biçimde değişmiştir. ESET, 2024 yılında RomCom’un Ukrayna’da devlet kurumlarına, savunma ve güç kesimlerine, ABD’de ilaç ve sigorta kesimlerine, Almanya’da hukuk dalına ve Avrupa’da devlet kurumlarına yönelik siber casusluk ve siber cürüm operasyonlarını keşfetti.
Her iki güvenlik açığını da keşfeden ESET araştırmacısı Damien Schaeffer “Tehlike zinciri, potansiyel kurbanı istismarı barındıran sunucuya yönlendiren uydurma bir web sitesinden oluşuyor ve istismarın başarılı olması durumunda, RomCom art kapısını indiren ve çalıştıran kabuk kodu çalıştırılıyor. Düzmece web sitesinin ilişkisinin nasıl dağıtıldığını bilmiyoruz lakin sayfaya savunmasız bir tarayıcı kullanılarak ulaşılırsa bir yük bırakılır ve kurbanın bilgisayarında kullanıcı etkileşimi gerekmeden çalıştırılır. Mozilla’daki gruba çok hassas oldukları için teşekkür etmek ve bir gün içinde bir yama yayımlamak için etkileyici iş ahlaklarını vurgulamak istiyoruz.” dedi. Her iki güvenlik açığı da sırasıyla Mozilla ve Microsoft tarafından giderildi.
Kaynak: (BYZHA) Beyaz Haber Ajansı