主要观点：ESET 研究人员发现 Mozilla 产品存在未知漏洞，被俄罗斯关联组织 RomCom 利用。该漏洞（CVE-2024-9680）CVSS 评分 9.8，可在浏览器受限环境中执行代码，与 Windows 另一个漏洞（CVE-2024-49039）链结后可在登录用户上下文中执行任意代码，成功攻击会在受害者计算机安装 RomCom 后门。RomCom 是从事多种活动的俄罗斯关联组织，此漏洞利用涉及假网站、shellcode 等，2024 年 10 月 8 日发现，10 月 9 日 Mozilla patched 漏洞，同时介绍了两个漏洞的详细分析及相关 IoCs 和 MITRE ATT&CK 技术。
关键信息：

• 2024 年 10 月 8 日发现 Mozilla 产品漏洞，10 月 9 日 Mozilla 发布补丁，同时 Tor 浏览器和 Thunderbird 也 patched 漏洞。
• 漏洞为 Firefox 动画时间线中的 use-after-free 问题，Windows 存在特权升级漏洞（CVE-2024-49039）。
• RomCom 是俄罗斯关联组织，在多个领域活动，利用漏洞进行攻击，攻击涉及假服务器和 shellcode 等。
• 介绍了两个漏洞的详细分析，包括漏洞产生原因、shellcode 等。
• 提供了相关 IoCs（文件和网络）及 MITRE ATT&CK 技术列表。
  重要细节：
• 漏洞利用链包括假网站重定向、shellcode 下载并执行 RomCom 后门等步骤。
• 分析了漏洞利用的文件和代码结构，如 main-<Firefox version>.js 等文件的作用。
• 介绍了 Windows 漏洞的 root cause 分析和利用方式。
• 提到 Mozilla 对漏洞的响应及发布补丁的速度，以及 ESET 与 Mozilla 的合作。
• 提供了 RomCom 相关的网络指标和文件哈希值等详细信息。