今年10月Mozilla基金会修补Firefox零时差漏洞CVE-2024-9680（CVSS风险评分为9.8），并表明他们掌握实际利用的活动情资，通报此事的资安业者ESET本周公布这起事故的细节。

研究人员表示，他们在10月8日看到广泛利用CVE-2024-9680的迹象，黑客运用这项当时尚未公开的零时差漏洞，对Mozilla开发的应用程序下手。

值得留意的是，攻击者在活动当中，串连11月例行更新修补的Windows零时差漏洞CVE-2024-49039（CVSS风险评分为8.8），而有机会在用户登录操作系统的状态下，运行任意代码。研究人员提及，受害者若是正在浏览能触发漏洞的网页，无须与用户交互，攻击者就能运行任意代码。

对于发起这波攻击行动的黑客身分，研究人员表示是代号为Storm-0978、Tropical Scorpius、UNC2596的俄罗斯黑客RomCom。一旦成功利用上述漏洞，这些黑客就会在受害电脑植入后门程序RomCom，以便进行后续的网络间谍活动。

针对整个资安事故发生的流程，黑客先是利用假网站将受害者重新导向特定服务器，并对用户的浏览器进行漏洞利用攻击，一旦得逞，电脑就会运行Shell Code，下载、运行后门程序RomCom。

究竟黑客如何散布假网站？研究人员表示不清楚。但他们强调，一旦攻击者的网页接触到含有漏洞的浏览器，有效酬载就会投放到受害电脑并运行，过程完全不需用户交互。

根据10月10日至11月4日的遥测数据显示，大多受害者位于北美及欧洲，研究人员提及，其中部分国家的受害者数量多达250位。

对于RomCom利用的这些零时差漏洞，Mozilla基金会、微软先后于10月9日、11月12日完成修补。他们特别提及，Mozilla在获报的25小时内就完成修补，如此迅速的因应让他们印象相当深刻。