赛门铁克称，多个勒索软件组织利用了最近修补的 Windows 0day（CVE-2025-29824）

会杀毒的单反狗 军哥网络安全读报 2025-05-08 01:01

导读

赛门铁克报告称，多个勒索软件组织似乎利用了最近修补的 Windows 漏洞作为零日漏洞武器。

该漏洞编号为 CVE-2025-29824，微软已于2025 年 4 月补丁日更新中修复该漏洞。该漏洞影响 Windows 通用日志文件系统 (CLFS)，攻击者可利用该漏洞提升权限。

微软在发布补丁当天透露，CVE-2025-29824 已被网络犯罪分子利用，针对“少数目标”发起攻击，其中包括美国的 IT 和房地产行业、委内瑞拉的金融行业、沙特阿拉伯的零售业以及一家西班牙软件公司。

微软将此次攻击归咎于其追踪的威胁组织Storm-2460，该组织利用CVE-2025-29824漏洞部署了一款名为 PipeMagic 的恶意软件，该恶意软件通常用于部署勒索软件。微软发现的证据表明，该
0day
漏洞已被 RansomEXX 勒索软件攻击所利用。

赛门铁克周三透露，在微软修补 CVE-2025-29824 漏洞之前，至少还有一个威胁组织利用了该漏洞。

分析显示，攻击者利用该漏洞部署了一个名为 Grixba 的信息窃取程序，该程序与赛门铁克追踪的 Balloonfly 威胁组织有关，该组织以实施 Play 勒索软件攻击而闻名。此次攻击并未部署勒索软件负载。

在赛门铁克发现的事件中，黑客可能利用了思科 ASA 漏洞进行初始访问，然后在网络上横向移动，最后利用 CVE-2025-29824 漏洞。

赛门铁克表示：“在 CVE-2025-29824 修补之前，该漏洞（或类似漏洞）可能已由多名参与者掌握。”

Storm-2460 的漏洞利用性质似乎与赛门铁克发现的 Balloonfly 相关活动不同。微软表示，该漏洞利用程序是由 dllhost.exe 进程在内存中启动的。赛门铁克发现的漏洞利用并非无文件攻击。

技术报告：

https://www.security.com/threat-intelligence/play-ransomware-zero-day

新闻链接：

https://www.securityweek.com/second-ransomware-group-caught-exploiting-windows-flaw-as-zero-day/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事