Kundi la RomCom Advanced persistent tishio (APT) lililounganishwa na Urusi limeonekana likitumia Mozilla na Windows siku sifuri na udhaifu wa kubofya sifuri. Mtafiti katika kampuni ya usalama wa mtandao ya ESET aligundua udhaifu huo wawili mnamo Oktoba 2024, zote zimetiwa viraka. Athari iliyogunduliwa katika Firefox ya Mozilla, ambayo sasa imekabidhiwa CVE-2024-9680 na alama ya CVSS ya 9.8, imetumiwa porini na kikundi cha APT kilichofungamana na Urusi cha RomCom. RomCom pia inajulikana kama Storm-0978, Tropical Scorpius, au UNC2596. CVE-2024-9680 ni hitilafu ya kutumia baada ya bure katika kipengele cha kalenda ya matukio ya uhuishaji katika Firefox. ESET iliripoti uwezekano wa kuathiriwa na Mozilla mnamo Oktoba 8, 2024, na ilirekebishwa ndani ya siku moja. Kulingana na telemetry ya ESET, kuanzia Oktoba 10, 2024 hadi Novemba 4, 2024, waathiriwa watarajiwa ambao walitembelea tovuti zinazoandaa unyanyasaji huo walipatikana zaidi Ulaya na Amerika Kaskazini. “Baadhi yao walikuwa wakitumia toleo lisilo hatarini la kivinjari au unyonyaji umeshindwa. Kwa baadhi yao kwa bahati mbaya inafaulu, na mlango wa nyuma wa RomCom uliwekwa na kuendeshwa kwenye kompyuta ya mwathiriwa,” alieleza Mtafiti Mkuu wa Malware wa ESET Damien Schaeffer, ambaye aligundua udhaifu wote wawili. CVE-2024-9680 iliathiri matoleo hatarishi ya kivinjari cha Firefox cha Mozilla, mteja wa barua pepe wa programu huria ya Thunderbird na Kivinjari cha Tor ambacho ni kivinjari huria kulingana na Mozilla Firefox. CVE iliruhusu washambuliaji kutekeleza msimbo katika muktadha uliowekewa vikwazo wa kivinjari. Uchambuzi zaidi ulifunua uwezekano mwingine wa siku sifuri katika Windows. Hili ni hitilafu ya upandaji fursa, iliyopewa CVE-2024-49039 na alama ya CVSS ya 8.8, ambayo inaruhusu msimbo kufanya kazi nje ya kisanduku cha mchanga cha Firefox. RomCom Inasakinisha Backdoor kupitia Zero-Click Exploit Katika shambulio lililofaulu, mwathiriwa akivinjari ukurasa wa wavuti ulio na unyonyaji, adui anaweza kutekeleza msimbo kiholela bila mwingiliano wowote wa mtumiaji unaohitajika, unaojulikana kama sifuri kubofya. “Mashambulizi ya sifuri ni kati ya hatari zaidi na muhimu kushughulikia,” alitoa maoni Schaeffer. Hata hivyo, alibainisha kuwa zinahitaji kiwango cha juu cha kisasa na ni nadra sana kutokana na uwekezaji unaohitajika. Katika kesi hii, ilisababisha usakinishaji wa mlango wa nyuma wa RomCom kwenye kompyuta ya mwathirika, kulingana na ESET. Mlango wa nyuma unaotumiwa na kikundi una uwezo wa kutekeleza amri na kupakua moduli za ziada kwa mashine ya mwathirika. ESET ilibaini kuwa udhaifu huo mbili unaweza kufungwa, na kuruhusu msimbo kiholela kutekelezwa katika muktadha wa mtumiaji aliyeingia. Kuunganisha udhaifu wa siku sifuri kwa RomCom kwa kutumia unyonyaji ambao hauhitaji mwingiliano wa watumiaji, ilisema kampuni hiyo. “Msururu wa maelewano unaundwa na tovuti ghushi inayoelekeza kwingine mwathiriwa kwa seva inayopangisha unyonyaji, na ikiwa unyonyaji huo utafaulu, msimbo wa shell utatekelezwa ambao unapakua na kutekeleza mlango wa nyuma wa RomCom,” alielezea Schaeffer. “Ingawa hatujui jinsi kiungo cha tovuti ghushi kinasambazwa, hata hivyo, ikiwa ukurasa utafikiwa kwa kutumia kivinjari kilicho hatarini, mzigo wa malipo hudondoshwa na kutekelezwa kwenye kompyuta ya mwathiriwa bila mwingiliano wa mtumiaji unaohitajika.” ESET iliongeza, kiwango hiki cha kisasa kinaonyesha dhamira na njia za mwigizaji tishio kupata au kukuza uwezo wa siri.