FirefoxとWindowsのゼロデイをロシアハッカーRomComが悪用:CVE-2024-9680、CVE-2024-49039 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > FirefoxとWindowsのゼロデイをロシアハッカーRomComが悪用:CVE-2024-9680、CVE-2024-49039

デイリーサイバーアラート

Silobreaker-CyberAlert

Windows

ウクライナ

FirefoxとWindowsのゼロデイをロシアハッカーRomComが悪用:CVE-2024-9680、CVE-2024-49039

佐々山 Tacos

佐々山 Tacos

2025.10.30

FirefoxとWindowsのゼロデイをロシアハッカーRomComが悪用:CVE-2024-9680、CVE-2024-49039

BleepingComputer – November 26, 2024 

ロシアを拠点とするサイバー犯罪グループRomComが、ヨーロッパおよび北米諸国のFirefox/Torブラウザを狙った最近の攻撃においてゼロデイCVE-2024-9680およびCVE-2024-49039を連鎖させて悪用しているという。ESETが新たなブログ記事の中で詳しく報告した。

1件目のCVE-2024-9680は、FirefoxのAnimationタイムライン機能における使用済みメモリ解放の脆弱性。これを悪用することで、Webブラウザのサンドボックス内でのコード実行が可能になるとされる。ESETが発見しMozillaへ報告したのち、2024年10月9日にパッチがリリースされるとともに悪用されている事実も明かされた。ただ、その時点ではどの脅威アクターがどんな標的を狙った攻撃で悪用しているのかなどの詳細は伏せられていた。

関連記事:Mozilla、攻撃で悪用されているFirefoxのゼロデイを修正:CVE-2024-9680

2件目のCVE-2024-49039は、Windowsタスクスケジューラにおける権限昇格の脆弱性。攻撃者がこの悪用に成功すれば、Firefoxサンドボックスの外部でコードを実行できるようになるとされる。この脆弱性は11月の月例セキュリティ更新プログラムで修正され、その際に悪用が確認されていることも公表されていたが、1件目と同様に詳細までは明かされていなかった。

関連記事:マイクロソフト、11月の月例パッチで悪用されているゼロデイ2件などに対処(CVE-2024-43451、CVE-2024-49039)

ESETによれば、RomComは上記2件の脆弱性をゼロデイチェーンエクスプロイトとして利用することで、ユーザー操作を必要とせずにリモートコード実行を達成できるようになったという。悪用を成功させるための唯一の要件は、ターゲットに有害なWebサイトを訪問させること。このサイトは、エクスプロイトをホストするサーバーへとターゲットをリダイレクトする役割を果たす。これによりエクスプロイトが機能してシェルコードが実行され、このシェルコードによってRomComバックドアがターゲットのシステム上でダウンロード・実行されるという。RomComバックドアを標的デバイスに送り込むことにより、攻撃者はコマンドを実行したり、追加のペイロードをデプロイしたりできるようになる。なお、この偽サイトへのリンクがどのように配布されているかはまだ判明していないとのこと。

関連記事

Threat Report

Silobreaker-RussiaUkraineAlert

RomCom RATのアクターがウクライナや同国支援者を攻撃か、NATOサミット目前に控え

佐々山 Tacos

佐々山 Tacos

2023.07.10

Silobreaker-RussiaUkraineAlert

macOS向けスティーラーBanshee Stealerのソースコードがリークされる

SecurityAffairs – November 26, 2024

今年8月からハッカー向けに販売され始めたインフォスティーラー「Banshee Stealer」のソースコードがネット上にリークされ、結果として同スティーラーの運営も終了したという。マルウェア研究者集団のVX-Undergroundが報告した。

Banshee Stealerは、macOSからの情報窃取に特化したマルウェア・アズ・ア・サービス(MaaS)。2024年8月から、月額3,000ドルのサブスクリプション方式で売り出され始めた。多数のブラウザからキーチェーンパスワードやデータを盗む性能を持ち、Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Opera、OperaGXの8ブラウザからはクッキー、ログイン情報、ブラウザ履歴を収集可能。Safariも標的とするが、このブラウザから窃取できるのはクッキーのみ。加えて、同スティーラーはおよそ100種のブラウザプラグインからデータを集めることもできるほか、Exodus、Electrum、Coinomiなどさまざまなウォレットから暗号資産を盗み出すことも可能だという。

かつてBanshee Stealerの分析結果を報告していたElastic Security Labsは、このマルウェアには巧妙な難読化が施されておらず分析しやすく、さほど複雑な設計ではないなどと指摘しつつも、「macOSシステムに狙いを定めているという点、そして収集するデータが幅広いという点から、(Bansheeは)サイバーセキュリティコミュニティによる注視を要する重大な脅威となっている」と述べている。

そんなBanshee Stealerが先週、何者かにソースコードをリークされたことを受けて、運営を終了したという。このニュースを最初に報じたVX-Undergroundは、「リークされたコードをアーカイブしてGitHub上でダウンロード可能にした」と述べている。なお、リークがどのような経緯で行われたかなどの詳細については不明。

【無料配布中レポート】

各種レポートを無料配布中!バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ&ダークウェブレポート

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ