Kembali kita dikejutkan oleh serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Seperti apa serangan ini terjadi, berikut pemaparannya.
Selama kurun waktu singkat di bulan Oktober, peretas Rusia memiliki kemampuan untuk meluncurkan kode arbitrer terhadap siapa pun di dunia yang menggunakan Firefox atau Tor.
Pada tanggal 8 Oktober, peneliti dari ESET pertama kali menemukan file berbahaya di server yang dikelola oleh Advanced Persistent Threat (APT) Rusia RomCom (alias Storm-0978, Tropical Scorpius, UNC2596). File tersebut telah online hanya lima hari sebelumnya, pada tanggal 3 Oktober.
Analisis menunjukkan bahwa mereka memanfaatkan dua kerentanan zero-day: satu memengaruhi perangkat lunak Mozilla, yang lainnya Windows. Hasilnya: eksploitasi yang menyebarkan backdoor RomCom kepada siapa pun yang mengunjungi situs web yang terinfeksi, tanpa perlu mengklik apa pun.
Untungnya, kedua masalah tersebut segera diatasi. “Para penyerang hanya memiliki waktu yang sangat singkat untuk mencoba membahayakan komputer,” jelas Romain Dumont, peneliti malware di ESET. “Ya, memang ada kerentanan zero-day. Namun, kerentanan itu tetap saja ditambal dengan sangat cepat.”
Baca juga: Malware Zero Click Pencuri Data Clouds |
Zero-Day di Firefox & Tor
Kerentanan pertama dari dua kerentanan, CVE-2024-9680, merupakan peluang penggunaan setelah bebas dalam linimasa animasi Firefox, mekanisme peramban yang menangani cara animasi dimainkan berdasarkan interaksi pengguna dengan situs web.
Kemampuannya untuk memberi penyerang eksekusi perintah yang sewenang-wenang membuatnya memperoleh peringkat “kritis” 9,8 dari Common Vulnerability Scoring System (CVSS).
Yang terpenting, CVE-2024-9680 memengaruhi lebih dari sekadar Firefox. Klien email open source Mozilla “Thunderbird” juga terdampak.
Seperti halnya peramban Tor yang sangat rahasia, yang dibuat dari versi modifikasi peramban Extended Support Release (ESR) Firefox.
Pada bulan Oktober, RomCom menyebarkan situs web yang dibuat khusus yang akan langsung memicu CVE-2024-9680 tanpa memerlukan interaksi korban apa pun. Korban tanpa sadar akan mengunduh backdoor RomCom dari server yang dikendalikan RomCom, lalu dengan cepat dialihkan ke situs web asli yang mereka kira telah mereka kunjungi selama ini.
Domain jahat ini dibuat untuk meniru situs asli yang terkait dengan platform layanan TI ConnectWise dan Devolutions, dan Correctiv, ruang berita nirlaba untuk jurnalisme investigasi di Jerman.
Bahwa organisasi-organisasi ini bersifat politis dan ekonomis mungkin tidak mengejutkan mereka yang mengenal RomCom, yang selalu melakukan kejahatan dunia maya oportunistik, tetapi belakangan ini telah menambahkan spionase bermotif politik ke dalam agendanya.
Aktivitasnya pada tahun 2024 mencakup kampanye melawan sektor asuransi dan farmasi di AS, tetapi juga sektor pertahanan, energi, dan pemerintah di Ukraina.
Tidak jelas dengan cara social engineering apa RomCom mungkin telah menyebarkan situs-situs jahat ini.
Baca juga: 3 Definisi Zero Day |
Tentang Operasi RomCom
Tidak puas hanya dengan menjalankan kode di peramban korban, RomCom juga menggunakan kerentanan kedua, CVE-2024-49039. Bug dengan tingkat keparahan tinggi 8.8 CVSS pada Windows Task Scheduler.
Ini memungkinkan peningkatan hak istimewa, berkat endpoint panggilan prosedur jarak jauh (RPC) yang tidak terdokumentasi yang tidak sengaja dapat diakses oleh pengguna tingkat rendah. Dalam kasus ini, RomCom menggunakan CVE-2024-49039 untuk keluar dari sandbox peramban dan masuk ke komputer korban secara umum.
Kerusakan yang mungkin terjadi dengan rantai eksploitasi yang begitu kuat, dan siapa saja yang terkena dampaknya bulan lalu, masih belum diketahui. Yang jelas saat ini adalah bahwa sebagian besar target berada di Amerika Utara dan Eropa, khususnya Republik Ceko, Prancis, Jerman, Polandia, Spanyol, Italia, dan AS ditambah korban yang tersebar di Selandia Baru dan Guyana Prancis.
Catatan RomCom
Selain itu, perlu dicatat, tidak ada korban yang dilacak oleh ESET yang disusupi melalui Tor. “Tor memiliki beberapa pengaturan yang telah ditetapkan sebelumnya yang berbeda dari Firefox, jadi mungkin itu tidak akan berhasil,” Damien Schaeffer, peneliti malware senior di ESET berspekulasi.
Dia juga mencatat bahwa target utama RomCom tampaknya adalah perusahaan, yang jarang menggunakan Tor.
Baik CVE-2024-9680 maupun CVE-2024-49039 telah ditambal, yang pertama pada 9 Oktober, hanya 25 jam setelah Mozilla diberitahu tentang masalah tersebut, dan yang terakhir pada 12 November.
“Sekarang, saya harap, masalahnya kurang lebih sudah selesai,” kata Schaeffer. Namun, untuk perusahaan mana pun, “Itu akan bergantung pada kebijakan mereka. Jika Anda memiliki manajemen tambalan yang baik, ini akan diperbaiki dalam satu hari atau lebih. Namun, terserah orang-orang untuk memperbaiki masalah mereka.”
Sampai di sini pambahasan kita mengenai serangan zero click backdoor RomCom menyebar di Firefox dan Tor. Semoga bermanfaat bagi pembaca.
Sumber berita: