資安廠商賽門鐵克發現,4月初微軟安全更新修補的零時差漏洞,其實也曾遭Play勒索軟體的駭客攻擊,植入竊密程式。
上個月微軟發佈Patch Tuesday安全更新修補126項安全漏洞,包含一項零時差漏洞CVE-2025-29824。該漏洞為位於Windows通用事件記錄檔案系統(Common Log File System,CLFS)驅動程式的使用已釋放記憶體(Use After Free,UAF)漏洞,可讓已獲得授權的攻擊者提升本地權限。
當時微軟判斷該漏洞已遭被稱為Storm-2460的駭客組織濫用散佈勒索軟體RansomEXX,受害組織包括美國IT業者、委內瑞拉金融業者、西班牙軟體公司、沙烏地阿拉伯零售業者。
但博通旗下資安業者賽門鐵克本周公佈其研究,一個和Play勒索軟體有關的攻擊者也曾利用CVE-2025-29824,對一家美國組織發動惡意程式以提升權限。這組駭客並未部署勒索軟體,但植入了竊資程式Grixba,這個程式被認為和Play勒索軟體背後的Balloonfly有關。
Balloonfly至少從2022年6月開始活動,並使用Play勒索軟體為禍,攻擊北美、南美和歐洲多家企業和關鍵基礎架構。
在最近的攻擊中,研究人員推斷Balloonfly先是鎖定面向網際網路的Cisco ASA防火牆,然後以某種不明方法在受害者網路上濫用本漏洞移動到Windows機器上。除了Grixba竊資程式及CVE-2025-29824濫用程式外,駭客還部署了其他惡意程式及駭客工具。研究人員尚不知這些程式為何,但是是位於Music資料匣,冒充Palo Alto軟體之名,例如1day.exe。
Balloonfly濫用CVE-2025-29824,目的在提升權限並竊取位於C:\ProgramData\Events\中的敏感Windows註冊表資料。在濫用過程中,駭客建立了CLFS log檔及一個DLL檔,後者是用來注入winlogon.exe行程,並且生成二個批次檔。其中一個servtask.bat存在C:\ProgramData下,用於SAM、SYSTEM及SECURITY Registry中的管理員群組中新增用戶,藉此權限。另一個named cmdpostfix.bat則用於刪除活動跡證。
基於濫用CVE-2025-29824的手法,研究人員判斷,Balloonfly不同於Storm-2460;Storm-2460是從dllhost.exe行程,在記憶體中啟動濫用行為,而賽門鐵克發現的卻並非無檔案(fileless)濫用行為。因此讓賽門鐵克研究人員相信,在微軟修補之前,漏洞已遭到至少二組攻擊者濫用。
熱門新聞
2025-05-12
2025-05-12
2025-05-12
2025-05-12
2025-05-09
2025-05-12