HackerNews 编译,转载请注明出处:
与Play勒索软件家族有关的威胁行为者利用微软Windows最近修补的安全漏洞作为零日漏洞,攻击了美国一家未具名的机构。
据博通旗下的赛门铁克威胁猎手团队称,此次攻击利用了CVE-2025-29824,这是公共日志文件系统(CLFS)驱动程序中的一个权限提升漏洞,微软上个月对其进行了修补。
Play,也被称为Balloonfly和PlayCrypt,以其双重勒索策略而闻名,即在加密之前先窃取敏感数据,以换取赎金。它自2022年年中以来一直活跃。
赛门铁克观察到,在此次活动中,威胁行为者可能利用面向公众的思科自适应安全设备(ASA)作为切入点,通过尚未确定的方法转移到目标网络上的另一台Windows机器上。
此次攻击值得注意的是使用了Grixba,这是一个之前被归因于Play的定制信息窃取器,以及一个针对CVE-2025-29824的利用程序,该程序被放置在音乐文件夹中,并伪装成Palo Alto Networks软件(例如,“paloaltoconfig.exe”和“paloaltoconfig.dll”)。
威胁行为者还被观察到运行命令,收集受害者活动目录中所有可用机器的信息,并将结果保存到CSV文件中。
“在利用程序执行过程中,会在C:\ProgramData\SkyPDF路径下创建两个文件,”赛门铁克解释说。“第一个文件PDUDrv.blf是一个公共日志文件系统基础日志文件,是利用过程中产生的一个痕迹。”
“第二个文件clssrv.inf是一个被注入到winlogon.exe进程中的DLL。这个DLL能够释放另外两个批处理文件。”
其中一个名为“servtask.bat”的批处理文件用于提升权限、转储SAM、SYSTEM和SECURITY注册表项,创建一个名为“LocalSvc”的新用户,并将其添加到管理员组。另一个批处理文件“cmdpostfix.bat”用于清除利用痕迹。
赛门铁克表示,在此次入侵中没有部署勒索软件负载。调查结果表明,在微软修复之前,针对CVE-2025-29824的利用程序可能已经被多个威胁行为者掌握。
值得注意的是,网络安全公司详细描述的利用方式与微软披露的另一项活动集群Storm-2460并不重叠,后者利用该漏洞进行有限的攻击,传播名为PipeMagic的木马。
CVE-2025-29824的利用也表明勒索软件行为者使用零日漏洞入侵目标的趋势。去年,赛门铁克透露,Black Basta团伙可能利用了CVE-2024-26169,这是Windows错误报告服务中的一个权限提升漏洞,作为零日漏洞。
“自带安装程序”EDR绕过技术在Babuk勒索软件攻击中的新应用
与此同时,Aon的Stroz Friedberg事件响应服务详细描述了一种名为“自带安装程序”的本地绕过技术,威胁行为者利用该技术禁用端点安全软件并部署Babuk勒索软件。
据该公司称,此次攻击针对了SentinelOne的端点检测与响应(EDR)系统,通过利用SentinelOne代理升级/降级过程中的一个漏洞,在获得一台面向公众的服务器的本地管理员权限后实施攻击。
“Aon的研究人员John Ailes和Tim Mashni表示:“自带安装程序是一种技术,威胁行为者可以通过在配置不当的情况下,及时终止代理更新过程,从而绕过主机上的EDR保护。”
这种方法值得注意,因为它不依赖于易受攻击的驱动程序或其他工具来解除安全软件的武装。相反,它利用代理升级过程中的一个时间窗口来终止正在运行的EDR代理,使设备处于无保护状态。
具体来说,它利用了这样一个事实:使用MSI文件安装软件的不同版本会导致它在执行更新之前终止已经运行的Windows进程。
“自带安装程序”攻击本质上涉及运行一个合法的安装程序,并在关闭正在运行的服务后,通过发出“taskkill”命令强行终止安装过程。
“Aon的研究人员表示:“由于SentinelOne的旧版本进程在升级过程中被终止,而新进程在启动前被中断,最终结果是一个没有SentinelOne保护的系统。”
SentinelOne表示,这种技术也可以应用于其他端点保护产品,该公司已经对其本地升级授权功能进行了更新,以防止此类绕过再次发生。这包括默认为所有新客户启用该功能。
与此同时,思科透露,一个名为Crytox的勒索软件家族在其攻击链中使用了HRSword,以关闭端点安全保护。
HRSword此前曾在传播BabyLockerKZ和Phobos勒索软件的攻击中被观察到,以及那些旨在终止韩国AhnLab安全解决方案的攻击。
勒索软件新趋势
近几个月来,勒索软件攻击越来越多地将目标对准域控制器,以入侵组织,使威胁行为者能够获得特权账户的访问权限,并利用集中的网络访问权限在几分钟内加密数百或数千个系统。
“在超过78%的人为操作的网络攻击中,威胁行为者成功入侵了域控制器,”微软上个月透露。
“此外,在超过35%的案例中,主要传播设备——负责大规模分发勒索软件的系统——是域控制器,突显了其在实现广泛加密和运营中断中的关键作用。”
近几个月来,检测到的其他勒索软件攻击利用了一种名为PlayBoy Locker的新勒索软件即服务(RaaS),它为相对缺乏技能的网络犯罪分子提供了一个全面的工具包,包括勒索软件负载、管理仪表板和支持服务。
“PlayBoy Locker RaaS平台为附属机构提供了许多选项,用于构建针对Windows、NAS和ESXi系统的勒索软件二进制文件,能够根据不同的操作需求进行定制配置,”Cybereason表示。“PlayBoy Locker RaaS运营商为附属机构宣传定期更新、反检测功能,甚至提供客户支持。”
与此同时,DragonForce发起了一场勒索软件卡特尔运动,这是一个声称控制了RansomHub的网络犯罪团伙,RansomHub是一个在2025年3月底突然停止运营的RaaS计划。
白标签品牌服务旨在允许附属机构将DragonForce勒索软件伪装成不同的菌株,以换取额外费用。威胁行为者声称将从成功的勒索软件赎金中抽取20%的份额,允许附属机构保留剩余的80%。
DragonForce于2023年8月首次出现,最初定位为支持巴勒斯坦的黑客行动主义行动,随后发展成为一个完整的勒索软件行动。在最近几周,该RaaS集团因其针对英国零售商(如哈罗德、马莎和合作商店)的攻击而受到关注。
“这一举措,以及DragonForce将其自身品牌定位为‘勒索软件卡特尔’的推动,表明该组织希望通过启用一个生态系统来提高其在网络犯罪领域的知名度,”SentinelOne表示。“在这种模式下,DragonForce提供基础设施、恶意软件和持续的支持服务,而附属机构则以自己的品牌运行活动。”
据BBC新闻报道,针对英国零售行业的攻击被认为是由臭名昭著的威胁集团和RansomHub附属机构Scattered Spider(又名Octo Tempest或UNC3944)策划的。
“包括UNC3944在内的威胁行为者将零售组织视为有吸引力的目标是合理的,因为它们通常拥有大量个人身份信息(PII)和财务数据,”谷歌旗下的Mandiant表示。
“此外,如果勒索软件攻击影响了它们处理金融交易的能力,这些公司可能更有可能支付赎金要求。”
2024年,勒索软件攻击增加了25%,勒索软件组织泄露网站的数量增加了53%。根据Bitsight的说法,这种分裂是较小、更灵活的帮派的出现,它们正在攻击中型组织,这些组织可能并不总是有资源来应对这些威胁。
“勒索软件组织的激增意味着它们的增长速度超过了执法部门关闭它们的速度,它们对小型组织的关注意味着任何人都可能成为目标,”安全研究员Dov Lerner表示。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
