ロシア系ハッカー集団「RomCom」が、Mozilla FirefoxおよびMicrosoft Windowsのゼロデイ脆弱性を利用した巧妙な攻撃を実施したことが判明した。
対象となった脆弱性は、Firefoxのアニメーションコンポーネントの問題(CVE-2024-9680)とWindowsのTask Schedulerにおける権限昇格の欠陥(CVE-2024-49039)。どちらも深刻なCVSSスコアが付与され、特にFirefoxの脆弱性ではユーザー操作を必要としない「ゼロクリック」攻撃が可能となる。
攻撃は、被害者が偽のウェブサイト経由でマルウェア「RomCom RAT」をインストールされる仕組みであり、これにより高度な隠密活動が実現される。専門家は、こうしたゼロデイ脆弱性を組み合わせた攻撃が、サイバー犯罪集団の能力と意図の進化を示すものと指摘している。被害者は主にヨーロッパと北米に集中し、セキュリティ対策の重要性が再認識される事態となっている。
FirefoxとWindowsの脆弱性を連携させた攻撃チェーンの詳細
RomComが利用した攻撃チェーンは、脆弱性の組み合わせによる巧妙さが際立つ。まず、Mozilla Firefoxの「CVE-2024-9680」に存在するUse-After-Free脆弱性が、攻撃の入口として活用された。
この脆弱性は、アニメーション処理におけるメモリ管理の欠陥により、リモートコード実行を可能にするもので、被害者が攻撃者が設置したウェブページを閲覧した時点で自動的に悪用される。さらに、Windows Task Schedulerの権限昇格脆弱性「CVE-2024-49039」が連携され、高度な特権取得を実現している。
攻撃者は偽のウェブサイトを利用し、初期アクセスからマルウェアの実行までの一連の流れを隠密に実行した。この手法により、ユーザーの介入を一切必要としない「ゼロクリック」攻撃が成立した。
ESETによる調査では、悪意のあるペイロードは赤外線カメラを用いたハッキングや金融機関への攻撃に転用可能な汎用性の高いマルウェアとして分類されている。こうした事実は、攻撃の規模とリスクの高さを裏付けるものだ。
セキュリティ専門家によれば、ゼロデイ脆弱性の同時利用は、通常の攻撃とは一線を画し、サイバー犯罪の新たな段階を示唆している。これに対する防御策として、パッチ適用の迅速化や脆弱性スキャニングの徹底が求められるだろう。
偽サイトの活用と攻撃者の戦術的進化
攻撃に使用された偽サイト「economistjournal[.]cloud」および「redjournal[.]cloud」は、見かけ上の正当性を装い、被害者を巧妙に誘導する役割を果たした。RomComは、このサイトを経由して対象のコンピュータにシェルコードを配布し、特定の脆弱性をトリガーさせた。このシェルコードは、オープンソース技術であるShellcode Reflective DLL Injection(RDI)を利用してマルウェアを実行する仕組みだ。
注目すべきは、これらの偽サイトがどのようにして被害者に配布されたかについて、未だ明確な情報がない点である。一部の専門家は、標的型フィッシングや悪意のある広告ネットワークの利用が関与している可能性を示唆している。こうした高度な偽装手法は、攻撃者が標的を特定し、成功率を高めるために熟練した技術を投入していることを物語っている。
このような戦術の進化は、個々の脆弱性対応だけでは不十分であることを浮き彫りにする。ユーザー側のリテラシー向上に加え、セキュリティソフトの多層的な防御が今後さらに重要となるだろう。
狙われた地域とゼロデイ攻撃のグローバルな影響
ESETのテレメトリデータによると、攻撃の被害者は主にヨーロッパと北アメリカに集中している。この地理的分布は、RomComがこれらの地域に存在する企業や政府機関を標的にしている可能性を示唆している。特に、攻撃者が高い精度でゼロデイ脆弱性を利用している点は、被害規模が地域的な枠を超え、グローバルな脅威へと拡大するリスクを示している。
Googleの脅威分析グループ(TAG)がMicrosoftに報告したCVE-2024-49039の発見は、同脆弱性が複数の攻撃者によって悪用されていた可能性を強く示している。これにより、サイバー攻撃の複雑性と競争性が増している現状が明らかになった。専門家は、このような状況下で、各国が連携し、攻撃者に対抗する国際的なサイバー防衛体制の必要性を訴えている。
ゼロデイ脆弱性の発見と修正には限界があるため、被害者側が意識を高め、被害を未然に防ぐための教育と啓発活動を拡大することが求められる。このようなグローバルな協力がなければ、ゼロデイ攻撃の脅威はますます深刻化するだろう。