Атакующие, связанные с операцией Play ransomware, использовали нулевой день (CVE-2025-29824) для повышения привилегий в системе Windows до его публичного исправления (8 апреля 2025). Уязвимость находилась в драйвере Common Log File System (clfs.sys).
Описание
Ключевые моменты:
- Атака через CVE-2025-29824 до патча.
- Использование Grixba и скрытых инструментов.
- Повышение привилегий через уязвимость в CLFS.
- Создание скрытого администратора и кража данных.
- Подобные атаки редки, но уже встречались у других ransomware-групп.
Хотя вредоносное ПО для шифрования не было развёрнуто, злоумышленники применили информационный стилер Grixba, связанный с группировкой Balloonfly. Они также использовали другие инструменты, маскирующиеся под ПО Palo Alto, и собрали данные о компьютерах в Active Directory.
Эксплойт работал через конкурентные операции с драйвером CLFS, что привело к уязвимости use-after-free и позволило изменять память ядра. В результате атакующие создали нового пользователя с правами администратора и похитили данные реестра (SAM, SYSTEM, SECURITY).
Microsoft подтвердила, что до патча уязвимость использовали несколько групп, включая Storm-2460, но их методы отличались от описанных в атаке Balloonfly.
Это не первый случай, когда ransomware-группы применяют нулевые дни — ранее Black Basta, возможно, использовала CVE-2024-26169 до исправления.
Индикаторы компрометации
SHA256
- 293b455b5b7e1c2063a8781f3c169cf8ef2b1d06e6b7a086b7b44f37f55729bd
- 430d1364d0d0a60facd9b73e674faddf63a8f77649cd10ba855df7e49189980b
- 6030c4381b8b5d5c5734341292316723a89f1bdbd2d10bb67c4d06b1242afd05
- 6d7374b4f977f689389c7155192b5db70ee44a7645625ecf8163c00da8828388
- 858efe4f9037e5efebadaaa70aa8ad096f7244c4c4aeade72c51ddad23d05bfe
- 9c21adbcb2888daf14ef55c4fa1f41eaa6cbfbe20d85c3e1da61a96a53ba18f9
- af260c172baffd0e8b2671fd0c84e607ac9b2c8beb57df43cf5df6e103cbb7ad
- b2cba01ae6707ce694073018d948f82340b9c41fb2b2bc49769f9a0be37071e1
- b3ee068bf282575ac7eb715dd779254889e0b8a55aba2b7a1700fc8aa4dcb1da
- ba05d05d51d4f7bfceb3821a3754e7432248f5c3d5a450391a0631d56bbce4c2