一、漏洞关键信息
-
漏洞编号:CVE-2025-29824(CVSS 7.8)
-
漏洞类型:Windows通用日志文件系统驱动(clfs.sys)释放后重用漏洞
-
危害等级:高危(可本地提权至SYSTEM权限)
-
影响范围:
-
微软2025年4月补丁日确认野外利用
-
美国CISA已列入"已知被利用漏洞"目录
-
主要攻击美国IT/房地产及沙特零售行业
二、攻击技术分析
-
攻击链还原:
-
初始入侵:利用Cisco ASA防火墙漏洞建立据点
-
横向移动:通过PowerShell收集Active Directory信息
-
权限提升:部署CVE-2025-29824零日漏洞利用程序
-
载荷投放:植入Grixba信息窃取工具(Balloonfly组织专属)
-
痕迹清除:创建管理员账户并设置持久化任务
-
技术特征:
-
利用驱动内存处理的竞态条件获取内核权限
-
通过恶意DLL和脚本实施凭证窃取
-
虽未部署勒索软件但具备完整攻击能力
三、威胁背景溯源
-
攻击组织:Balloonfly犯罪集团(自2022年活跃)
-
关联恶意软件:
-
主要载荷:Play勒索软件(又名PlayCrypt)
-
辅助工具:PipeMagic木马(微软追踪为Storm-2460)
-
活动地域:重点针对北美、南美及欧洲机构
四、防护建议
-
紧急措施:
-
立即安装微软2025年4月安全更新
-
检查系统是否存在异常计划任务/管理员账户
-
深度防御:
-
对CLFS驱动实施行为监控
-
限制PowerShell脚本执行权限
-
威胁狩猎:
-
搜寻Grixba信息窃取工具特征码
-
监控内核模式异常内存操作
原文始发于微信公众号(黑猫安全):Play勒索软件团伙利用零日漏洞部署恶意程序
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论