资安厂商赛门铁克发现,4月初微软安全更新修补的零时差漏洞,其实也曾遭Play勒索软体的骇客攻击,植入窃密程式。
上个月微软发布Patch Tuesday安全更新修补126项安全漏洞,包含一项零时差漏洞CVE-2025-29824。该漏洞为位于Windows通用事件记录档案系统(Common Log File System,CLFS)驱动程式的使用已释放记忆体(Use After Free,UAF)漏洞,可让已获得授权的攻击者提升本地权限。
当时微软判断该漏洞已遭被称为Storm-2460的骇客组织滥用散布勒索软体RansomEXX,受害组织包括美国IT业者、委内瑞拉金融业者、西班牙软体公司、沙乌地阿拉伯零售业者。
但博通旗下资安业者赛门铁克本周公布其研究,一个和Play勒索软体有关的攻击者也曾利用CVE-2025-29824,对一家美国组织发动恶意程式以提升权限。这组骇客并未部署勒索软体,但植入了窃资程式Grixba,这个程式被认为和Play勒索软体背后的Balloonfly有关。
Balloonfly至少从2022年6月开始活动,并使用Play勒索软体为祸,攻击北美、南美和欧洲多家企业和关键基础架构。
在最近的攻击中,研究人员推断Balloonfly先是锁定面向网际网路的Cisco ASA防火墙,然后以某种不明方法在受害者网路上滥用本漏洞移动到Windows机器上。除了Grixba窃资程式及CVE-2025-29824滥用程式外,骇客还部署了其他恶意程式及骇客工具。研究人员尚不知这些程式为何,但是是位于Music资料匣,冒充Palo Alto软体之名,例如1day.exe。
Ballonfly滥用CVE-2025-29824,目的在提升权限并窃取位于C:ProgramDataEvents中的敏感Windows注册表资料。在滥用过程中,骇客建立了CLFS log档及一个DLL档,后者是用来注入Windowlogon.exe行程,并且生成二个批次档。其中一个servtask.bat存在C:ProgramData下,用于SAM、SYSTEM及SECURITY Registry中的管理员群组中新增用户,借此权限。另一个named cmdpostfix.bat则用于删除活动迹证。
基于滥用CVE-2025-29824的手法,研究人员判断,Ballonfly不同于Storm-2460;Storm-2460是从dllhost.exe行程,在记忆体中启动滥用行为,而赛门铁克发现的却并非无档案(fileless)滥用行为。因此让赛门铁克研究人员相信,在微软修补之前,漏洞已遭到至少二组攻击者滥用。