Недавние расследования в области кибербезопасности указывают на тревожную связь между уязвимостями нулевого дня и активностями хакеров. Одной из таких уязвимостей является CVE-2025-29824 в файловой системе общего журнала Windows (CLFS), которая используется для развертывания программ-вымогателей.
Как происходит атака?
Атака начинается с использования хакерами утилиты certutil для загрузки вредоносного файла MSBuild с взломанного законного веб-сайта. После запуска вредоносная программа:
- Расшифровывает полезную нагрузку,
- Вводит её в системные процессы, такие как winlogon.exe,
- Использует различные API для повышения привилегий.
В результате такой атаки файлы на скомпрометированных системах шифруются с присвоением случайного расширения, уникального для каждого устройства, при этом сохраняется согласованность для каждого из них. Злоумышленники также удаляют сообщения о требовании выкупа с пометкой !_READ_ME_REXX2_!.txt, что указывает на их требования.
Дополнительные меры хакеров
Хакерская группа Storm-2460 не останавливается на достигнутом. Они используют специальные команды, чтобы усложнить восстановление данных и гарантировать успех своей атаки:
- Отключение параметров восстановления с помощью bcdedit,
- Удаление каталогов резервных копий с помощью wbadmin,
- Очистка журналов событий приложений с помощью wevtutil.
Также в некоторых случаях notepad.exe создается как системный процесс, что демонстрирует манипуляции со стороны злоумышленников с системными процессами во время атаки.
Рекомендации по защите
Корпорация Майкрософт призывает организации к активным действиям для снижения рисков, связанных с программами-вымогателями. К этим действиям относятся:
- Оперативное устранение уязвимостей, таких как CVE-2025-29824,
- Установка необходимых обновлений для системы безопасности,
- Использование решений для обнаружения конечных точек и реагирования на них (EDR) в режиме блокировки.
Также важно внедрение облачной защиты и правил сокращения площади атак, что повысит эффективность защиты от новых методов вымогательства. Эффективное обнаружение устройств помогает идентифицировать неуправляемые системы, которые могут быть использованы злоумышленниками в качестве точек входа.
Заключение
Клиенты Microsoft Defender XDR могут использовать расширенные возможности обнаружения для отслеживания и реагирования на связанные с ними атаки, включая специфику засечек подозрительных внедрений, несанкционированного доступа к конфиденциальной памяти и поведения программ-вымогателей. Разведданные о действиях Storm-2460 подтверждают постоянную необходимость в бдительности и упреждающих мерах безопасности против изощренных хакеров.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Уязвимость CVE-2025-29824: угроза программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.