警惕臭名昭著的RomRom组织的黑客，该组织也称为Storm-0978、Tropical Scorpius或UNC2596，以及他们使用的自定义后门。

ESET的网络安全研究人员揭露了与俄罗斯有关的RomCom组织的恶意活动，该活动结合了两个之前未知的（零日）漏洞来危害Windows和Firefox等目标系统。

该攻击链于10月8日首次被发现，始于Mozilla Firefox、Thunderbird和Tor浏览器中的一个漏洞(CVE-2024-9680，CVSS评分9.8)。如果使用存在漏洞的浏览器的用户访问自定义网页，恶意代码便可在浏览器的受限环境中运行，而无需任何用户交互。该漏洞是Firefox动画功能中的一个“释放后使用”错误，Mozilla在收到ESET通知后的24小时内迅速解决了该漏洞。

然而，攻击并未就此停止。RomCom将此浏览器漏洞与Windows中的另一个零日漏洞(CVE-2024-49039，CVSS评分8.8)结合起来，以绕过浏览器的安全“沙盒”。第二个漏洞允许攻击者以登录用户的权限运行代码，从而控制系统。微软于11月12日发布了针对此问题的修复程序。

该漏洞链的工作原理是首先将用户重定向到虚假网站，这些网站使用看似合法的域名并包含其他组织的名称，然后将用户发送到托管漏洞代码的服务器。

这些虚假网站通常使用前缀或后缀“redir”或“red”指向合法域名，攻击结束时的重定向将受害者带到合法网站，从而隐藏攻击。一旦漏洞利用成功运行，就会安装RomCom的自定义后门，使攻击者能够远程访问和控制受感染的机器。

ESET的调查显示，RomCom针对多个行业，包括乌克兰政府实体、美国制药业和德国法律行业，进行间谍活动和网络犯罪。该组织又名Storm-0978、Tropical Scorpius或UNC2596，以机会主义攻击和有针对性的间谍活动而闻名。

从10月10日至11月4日，ESET的数据显示，访问这些恶意网站的用户主要位于欧洲和北美，受害者数量从1人到部分国家的250人不等。

此次网络攻击活动进一步表明了快速披露和修补漏洞的重要性。它还强调了用户保持警惕并保持软件更新以防止零日漏洞被利用的必要性。