Play勒索软件团伙利用零日漏洞部署恶意程序

发布于 作者:

Play勒索软件团伙利用零日漏洞部署恶意程序

鹏鹏同学 黑猫安全 2025-05-08 01:40

一、漏洞关键信息
1. 漏洞编号:CVE-2025-29824(CVSS 7.8)

  1. 漏洞类型:Windows通用日志文件系统驱动(clfs.sys)释放后重用漏洞

  2. 危害等级:高危(可本地提权至SYSTEM权限)

  3. 影响范围:

  4. 微软2025年4月补丁日确认野外利用

  5. 美国CISA已列入”已知被利用漏洞”目录

  6. 主要攻击美国IT/房地产及沙特零售行业

二、攻击技术分析
1. 攻击链还原:

  1. 初始入侵:利用Cisco ASA防火墙漏洞建立据点

  2. 横向移动:通过PowerShell收集Active Directory信息

  3. 权限提升:部署CVE-2025-29824零日漏洞利用程序

  4. 载荷投放:植入Grixba信息窃取工具(Balloonfly组织专属)

  5. 痕迹清除:创建管理员账户并设置持久化任务

  6. 技术特征:

  7. 利用驱动内存处理的竞态条件获取内核权限

  8. 通过恶意DLL和脚本实施凭证窃取

  9. 虽未部署勒索软件但具备完整攻击能力

三、威胁背景溯源
1. 攻击组织:Balloonfly犯罪集团(自2022年活跃)

  1. 关联恶意软件:

  2. 主要载荷:Play勒索软件(又名PlayCrypt)

  3. 辅助工具:PipeMagic木马(微软追踪为Storm-2460)

  4. 活动地域:重点针对北美、南美及欧洲机构

四、防护建议
1. 紧急措施:

  1. 立即安装微软2025年4月安全更新

  2. 检查系统是否存在异常计划任务/管理员账户

  3. 深度防御:

  4. 对CLFS驱动实施行为监控

  5. 限制PowerShell脚本执行权限

  6. 威胁狩猎:

  7. 搜寻Grixba信息窃取工具特征码

  8. 监控内核模式异常内存操作