play勒索软件团伙利用Windows零日漏洞发动攻击
Symantec’s Threat 威胁猎人团队的研究人员近日报告,Play勒索软件团伙利用了Windows通用日志文件系统漏洞(CVE-2025-29824),在零日攻击中获得系统权限并在受损系统上部署恶意软件并攻击了一家美国组织。微软证实该漏洞已在攻击中被利用。
微软证实该漏洞已在攻击中被利用。
play勒索软件团伙利用零日攻击中的一个高严重性Windows通用日志文件系统缺陷来获取系统权限,并在受损系统上部署恶意软件。
该漏洞被追踪为CVE-2025-29824,被微软标记为在有限数量的攻击中被利用,并在上个月的周二补丁中被修补。
“目标包括美国信息技术(IT)和房地产行业的组织,委内瑞拉的金融行业,西班牙软件公司,以及沙特阿拉伯的零售行业,”微软在4月份表示。
微软将这些攻击与RansomEXX勒索软件团伙联系起来,称攻击者安装了PipeMagic后门恶意软件,该软件用于在加密文件后丢弃CVE-2025-29824漏洞,部署勒索软件有效载荷和勒索笔记。
自那以来,赛门铁克的威胁猎人团队还发现了将他们与Play勒索软件即服务操作联系起来的证据,称攻击者在侵入一个美国组织的网络后,部署了CVE-2025-29824零日权限提升漏洞。
赛门铁克表示:“尽管入侵中没有部署勒索软件有效载荷,但攻击者部署了Grixba infostealer,这是一种与Balloonfly相关的定制工具,balloon fly是Play勒索软件操作背后的攻击者。”
“Balloonfly是一个网络犯罪集团,至少从2022年6月开始活跃,并使用Play勒索软件(也称为PlayCrypt)进行攻击。”
Grixba定制网络扫描和信息窃取工具在两年前首次被发现,Play勒索软件运营商通常使用它来列举受损网络中的用户和计算机。
Play网络犯罪团伙于2022年6月浮出水面,并因双重勒索攻击而闻名,其附属公司迫使受害者支付赎金,以避免他们被盗的数据在网上泄露。
2023年12月,美国联邦调查局与CISA和澳大利亚网络安全中心(ACSC)发布了一份联合咨询报告,警告称,截至2023年10月,Play勒索软件团伙已经侵入了全球约300个组织的网络。
之前著名的Play勒索软件受害者包括云计算公司Rackspace、汽车零售商巨头阿诺德·克拉克、加利福尼亚州奥克兰市、达拉斯县、比利时安特卫普市,以及最近的美国半导体供应商微芯片技术公司和甜甜圈连锁店Krispy Kreme。
play勒索软件团伙利用零日攻击中的一个高严重性Windows通用日志文件系统缺陷来获取系统权限,并在受损系统上部署恶意软件。
该漏洞被追踪为CVE-2025-29824,被微软标记为在有限数量的攻击中被利用,并在上个月的周二补丁中被修补。
“目标包括美国信息技术(IT)和房地产行业的组织,委内瑞拉的金融行业,西班牙软件公司,以及沙特阿拉伯的零售行业,”微软在4月份表示。
微软将这些攻击与RansomEXX勒索软件团伙联系起来,称攻击者安装了PipeMagic后门恶意软件,该软件用于在加密文件后丢弃CVE-2025-29824漏洞,部署勒索软件有效载荷和勒索笔记。
自那以来,赛门铁克的威胁猎人团队还发现了将他们与Play勒索软件即服务操作联系起来的证据,称攻击者在侵入一个美国组织的网络后,部署了CVE-2025-29824零日权限提升漏洞。
赛门铁克表示:“尽管入侵中没有部署勒索软件有效载荷,但攻击者部署了Grixba infostealer,这是一种与Balloonfly相关的定制工具,balloon fly是Play勒索软件操作背后的攻击者。”
“Balloonfly是一个网络犯罪集团,至少从2022年6月开始活跃,并使用Play勒索软件(也称为PlayCrypt)进行攻击。”
Grixba定制网络扫描和信息窃取工具在两年前首次被发现,Play勒索软件运营商通常使用它来列举受损网络中的用户和计算机。
Play网络犯罪团伙于2022年6月浮出水面,并因双重勒索攻击而闻名,其附属公司迫使受害者支付赎金,以避免他们被盗的数据在网上泄露。
2023年12月,美国联邦调查局与CISA和澳大利亚网络安全中心(ACSC)发布了一份联合咨询报告,警告称,截至2023年10月,Play勒索软件团伙已经侵入了全球约300个组织的网络。
之前著名的Play勒索软件受害者包括云计算公司Rackspace、汽车零售商巨头阿诺德·克拉克、加利福尼亚州奥克兰市、达拉斯县、比利时安特卫普市,以及最近的美国半导体供应商微芯片技术公司和甜甜圈连锁店Krispy Kreme。
关于作者
评论0次