СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#Dev#ИБ

Новая угроза: эксплойт нулевого дня CVE-2025-29824 в руках злоумышленников

Новая угроза: эксплойт нулевого дня CVE-2025-29824 в руках злоумышленников

Недавний отчет об инциденте в сфере кибербезопасности вскрыл крайне серьезную атаку, связанную с программой-вымогателем Play, также известной как Balloonfly. Злоумышленники воспользовались уязвимостью нулевого дня CVE-2025-29824 в драйвере clfs.sys, что указывает на растущую сложность и организованность кибератак.

Ход атаки

Атака была проведена до официального раскрытия уязвимости и ее исправления 8 апреля 2025 года. Несмотря на то что во время инцидента не было выпущено ни одной полезной программы-вымогателя, на взломанном компьютере с Windows были установлены многочисленные хакерские инструменты и образцы вредоносного программного обеспечения.

Методы взлома

По предварительным данным, первоначальный доступ к сети целевой организации был получен через общедоступный брандмауэр Cisco ASA. После этого злоумышленники:

  • Использовали различные неназванные инструменты в дополнение к Grixba infostealer и эксплойту нулевого дня;
  • Скрывали некоторые образцы вредоносного ПО под безобидными именами, например, аналогичными программному обеспечению Palo Alto;
  • Собирали информацию о доступных устройствах в Active Directory жертвы, сохраняя результаты в файл «AllWindows.csv».

Технические детали эксплойта

Использование эксплойта CVE-2025-29824 включало взаимодействие с ядром Windows через специальные вызовы API, такие как CreateFileW() и DeviceIoControl(). В ходе атаки:

  • Создавалась структура FILE_OBJECT, связанная с файловыми операциями;
  • Осуществлялась многопоточность для управления временем вызовов, что позволяло манипулировать памятью ядра.

Это привело к созданию в каталоге C:ProgramDataSkyPDF двух ключевых файлов: PDUDrv.blf и библиотека clssrv.inf DLL, которая была внедрена в процесс winlogon.exe. Это свидетельствует о наличии дополнительных функций для сохранения доступа.

Тенденции в киберугрозах

Данная атака, помимо своей уникальности, также отражает общую тенденцию среди групп программ-вымогателей к использованию уязвимостей нулевого дня для расширения своих возможностей. Microsoft отметила, что аналогичная группа Storm-2460 использовала ущерб от той же уязвимости, однако их методы отличались от подходов Balloonfly.

Хотя злоумышленники-вымогатели традиционно используют уязвимости нулевого дня относительно редко, недавние инциденты подчеркивают увеличение частоты таких атак. Это ставит под сомнение безопасность множества организаций и акцентирует внимание на необходимости постоянной бдительности и быстрого реагирования на обнаруженные уязвимости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: