在信息安全领域,攻击者运用零日漏洞展开恶意活动的现象屡见不鲜。最新的案例是 Play 勒索病毒组织,该团伙利用了一种Windows公共日志文件系统的高危漏洞,卓有成效地进行恶意软件的部署。
已知的漏洞编号为 CVE-2025-29824,其CVSS分数为7.8,属于“使用后释放”(Use after Free)类型的漏洞。这个漏洞的存在,使得被授权的攻击者能够在系统中提升特权,一旦成功利用,就能获得 SYSTEM 权限。根据微软公司的确认,该漏洞已被运用于多起实际攻击中。
在2025年4月,美国网络安全和基础设施安全局(CISA)已经将这一漏洞纳入了其已知被利用漏洞(Known Exploited Vulnerabilities, KEV)目录之中。微软在4月的补丁星期二安全更新中,对该漏洞进行了修补,并同时确认该漏洞已经在遍布全球的多家机构,包括美国信息技术(IT)和房地产领域的组织,以及沙特阿拉伯的零售行业遭受攻击。
根据Symantec的威胁猎手团队的报告, Play 勒索病毒团伙在对美国某组织的攻击中,使用了 CVE-2025-29824 的零日漏洞进行攻击。攻击者通过公开暴露的Cisco ASA防火墙作为初始入侵矢量,获得对Windows系统的访问权限。他们部署的工具包括Grixba等。这种恶意软件关联于 Balloonfly,它自2022年6月至今活跃在网络攻击中,并对北美、南美及欧洲的众多组织施加攻击。
在成功入侵后,攻击者使用 PowerShell 收集活动目录信息,并利用CDLF驱动程序中的漏洞来提升特权,同时运行恶意的DLL和脚本以窃取凭证。他们还创建了管理账户,并试图掩盖踪迹。攻击中利用了驱动程序内存处理中的竞争条件,获得内核访问权限,操纵文件,执行恶意任务并利用计划任务维持持久性。
Symantec表示,该漏洞在被修补前已经被多方攻击者利用。微软将其与 PipeMagic 恶意软件和 Storm-2460 相关联,尽管Symantec观察到Balloonfly对这一工具的不同非无文件利用方式。
虽然勒索病毒组织利用零日漏洞的行为并不常见,但在此事件中,Play 勒索病毒团伙的行动确实表明了这一趋势的威胁,显示了安全界对这种快速演变和复杂攻击策略的警惕与应对的必要性。
对于用户和组织而言,这一事件提示了关键的安全防范策略。以下是一些重要的安全建议:
-
定期更新系统和应用程序:确保所有软件和操作系统及其依赖项保持最新状态,以减少潜在的漏洞被利用的风险。
-
施行强大的访问控制:应用最小权限原则,授予用户或应用程序仅必要的访问权限,降低系统被入侵的风险。
-
使用多因素认证(MFA):在登录关键系统或应用程序时,应实施多因素认证,以增加额外的安全层。
-
监控网络流量和异常活动:使用先进的网络监控解决方案,持续检查不寻常的活动或潜在攻击的迹象。
-
教育员工:定期对员工进行网络安全培训,提高其安全意识,尤其是在识别钓鱼攻击和可疑活动方面的能力。
通过采取这些预防措施,企业和组织可以显著降低遭受网络攻击的风险,保护自身的资产和用户信息。记住,网络安全是一个持续的过程,需要不断的关注和投入。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
