Play勒索软件团伙利用零日漏洞部署恶意程序

admin 2025年5月8日17:16:02评论5 views字数 654阅读2分10秒阅读模式
Play勒索软件团伙利用零日漏洞部署恶意程序

一、漏洞关键信息

  1. 漏洞编号:CVE-2025-29824(CVSS 7.8)

  2. 漏洞类型:Windows通用日志文件系统驱动(clfs.sys)释放后重用漏洞

  3. 危害等级:高危(可本地提权至SYSTEM权限)

  4. 影响范围:

    • 微软2025年4月补丁日确认野外利用

    • 美国CISA已列入"已知被利用漏洞"目录

    • 主要攻击美国IT/房地产及沙特零售行业

二、攻击技术分析

  1. 攻击链还原:

    • 初始入侵:利用Cisco ASA防火墙漏洞建立据点

    • 横向移动:通过PowerShell收集Active Directory信息

    • 权限提升:部署CVE-2025-29824零日漏洞利用程序

    • 载荷投放:植入Grixba信息窃取工具(Balloonfly组织专属)

    • 痕迹清除:创建管理员账户并设置持久化任务

  2. 技术特征:

    • 利用驱动内存处理的竞态条件获取内核权限

    • 通过恶意DLL和脚本实施凭证窃取

    • 虽未部署勒索软件但具备完整攻击能力

三、威胁背景溯源

  1. 攻击组织:Balloonfly犯罪集团(自2022年活跃)

  2. 关联恶意软件:

    • 主要载荷:Play勒索软件(又名PlayCrypt)

    • 辅助工具:PipeMagic木马(微软追踪为Storm-2460)

  3. 活动地域:重点针对北美、南美及欧洲机构

四、防护建议

  1. 紧急措施:

    • 立即安装微软2025年4月安全更新

    • 检查系统是否存在异常计划任务/管理员账户

  2. 深度防御:

    • 对CLFS驱动实施行为监控

    • 限制PowerShell脚本执行权限

  3. 威胁狩猎:

    • 搜寻Grixba信息窃取工具特征码

    • 监控内核模式异常内存操作

原文始发于微信公众号(黑猫安全):Play勒索软件团伙利用零日漏洞部署恶意程序

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月8日17:16:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Play勒索软件团伙利用零日漏洞部署恶意程序http://cn-sec.com/archives/4041425.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息