利用 Windows 漏洞进行零日攻击的团体数量超出此前预期

研究人员发现证据表明，除了微软追踪的 Storm-2460 组织外，Play 勒索软件团伙也知道并使用了微软 4 月份修补的 CVE-2025-29824 权限提升漏洞。

微软在 4 月份修补的零日漏洞已被更多组织知晓和利用，其中包括通过思科 ASA 防火墙进入某个网络的 Play 勒索软件背后的团伙。

微软于 4 月 8 日修补了CVE-2025-29824漏洞，并表示该漏洞已被一个名为 Storm-2460 的组织利用，针对少数目标部署了 PipeMagic 恶意软件和勒索软件。

现在，博通旗下赛门铁克的研究人员发现证据表明，另一个名为 Balloonfly 的组织也利用了该漏洞，该漏洞此前已被修补。Balloonfly 因至少自 2022 年 6 月以来部署 Play 勒索软件（也称为 PlayCrypt）而闻名。

赛门铁克调查的这次攻击涉及美国的一个组织，所使用的技术和程序与微软报告的 Storm-2460 有很大不同。

在更大的地缘政治框架下的商业活动

报告中指出：“虽然勒索软件攻击者利用零日漏洞的情况并不多见，但这并非史无前例。去年，赛门铁克发现证据表明，与 Black Basta 勒索软件相关的攻击者可能利用了最近修补的 Windows 权限提升漏洞 (CVE-2024-26169) 作为零日漏洞。”

新的 CVE-2025-29824 漏洞是 Windows 通用日志文件系统驱动程序 (CLFS.sys) 中的一个释放后使用内存漏洞，普通账户和受限账户利用该漏洞可导致以系统权限执行代码。此类权限提升漏洞对于攻击者在入侵后阶段实现完全系统控制非常有用。

初始访问是通过 Cisco 防火墙进行的

赛门铁克发现证据表明，攻击者通过思科 ASA 防火墙访问了受害者的网络，然后转向 Windows 计算机。研究人员并未透露这种访问是通过利用漏洞还是使用弱凭据或被盗凭据实现的，但过去两年中，针对防火墙、VPN 网关和其他安全设备等网络边缘设备的零日攻击已变得非常普遍。

尽管大多数零日攻击都是由拥有大量资源和资金的国家团体所为，但一旦漏洞被揭露并且可以利用，其他类型的攻击者也可能会尝试利用它。

攻击者成功部署信息窃取程序

在此次攻击中，Balloonfly 组织并未部署 Play 勒索软件，因为这通常是攻击者控制网络重要部分以造成最大破坏的最后阶段之一。然而，该组织部署了一个名为 Grixba 的信息窃取程序，这通常是其工具集的一部分。

Grixba是一个用 .NET 编写的自定义工具，Play 勒索软件团伙在攻击初期专门使用它来收集有关受感染系统、其配置的服务、进程、用户和在其上运行的软件的信息，包括各种安全和备份程序、远程管理工具等。

除了 Grixba 之外，攻击者还在此次攻击中部署了其他工具，赛门铁克研究人员无法恢复这些工具。然而，一个有趣的现象是，这些工具的名称伪装成 Palo Alto Networks 的软件——paloaltoconfig.exe 和 paloaltoconfig.dll。

攻击者还执行 PowerShell 命令来收集有关受害组织 Active Directory 中其他系统的信息，这种侦察活动通常早于横向移动尝试。

尽管无法恢复所有有效载荷，但赛门铁克研究人员能够恢复大多数有效载荷的名称和文件哈希值，这些名称和文件哈希值在报告中作为妥协指标共享，可用于构建检测和威胁搜寻查询。