11,6 тыс подписчиков

Новая угроза: эксплойт нулевого дня CVE-2025-29824 в руках злоумышленников

8 мая 20258 мая 2025

2 мин

Недавний отчет об инциденте в сфере кибербезопасности вскрыл крайне серьезную атаку, связанную с программой-вымогателем Play, также известной как Balloonfly. Злоумышленники воспользовались уязвимостью нулевого дня CVE-2025-29824 в драйвере clfs.sys, что указывает на растущую сложность и организованность кибератак. Атака была проведена до официального раскрытия уязвимости и ее исправления 8 апреля 2025 года. Несмотря на то что во время инцидента не было выпущено ни одной полезной программы-вымогателя, на взломанном компьютере с Windows были установлены многочисленные хакерские инструменты и образцы вредоносного программного обеспечения. По предварительным данным, первоначальный доступ к сети целевой организации был получен через общедоступный брандмауэр Cisco ASA. После этого злоумышленники: Использование эксплойта CVE-2025-29824 включало взаимодействие с ядром Windows через специальные вызовы API, такие как CreateFileW() и DeviceIoControl(). В ходе атаки: Это привело к созданию в катал

Оглавление

Ход атаки
Методы взлома
Технические детали эксплойта

Недавний отчет об инциденте в сфере кибербезопасности вскрыл крайне серьезную атаку, связанную с программой-вымогателем Play, также известной как Balloonfly. Злоумышленники воспользовались уязвимостью нулевого дня CVE-2025-29824 в драйвере clfs.sys, что указывает на растущую сложность и организованность кибератак.

Ход атаки

Атака была проведена до официального раскрытия уязвимости и ее исправления 8 апреля 2025 года. Несмотря на то что во время инцидента не было выпущено ни одной полезной программы-вымогателя, на взломанном компьютере с Windows были установлены многочисленные хакерские инструменты и образцы вредоносного программного обеспечения.

Методы взлома

По предварительным данным, первоначальный доступ к сети целевой организации был получен через общедоступный брандмауэр Cisco ASA. После этого злоумышленники:

Использовали различные неназванные инструменты в дополнение к Grixba infostealer и эксплойту нулевого дня;
Скрывали некоторые образцы вредоносного ПО под безобидными именами, например, аналогичными программному обеспечению Palo Alto;
Собирали информацию о доступных устройствах в Active Directory жертвы, сохраняя результаты в файл «AllWindows.csv».

Технические детали эксплойта

Использование эксплойта CVE-2025-29824 включало взаимодействие с ядром Windows через специальные вызовы API, такие как CreateFileW() и DeviceIoControl(). В ходе атаки:

Создавалась структура FILE_OBJECT, связанная с файловыми операциями;
Осуществлялась многопоточность для управления временем вызовов, что позволяло манипулировать памятью ядра.

Это привело к созданию в каталоге C:ProgramDataSkyPDF двух ключевых файлов: PDUDrv.blf и библиотека clssrv.inf DLL, которая была внедрена в процесс winlogon.exe. Это свидетельствует о наличии дополнительных функций для сохранения доступа.

Тенденции в киберугрозах

Данная атака, помимо своей уникальности, также отражает общую тенденцию среди групп программ-вымогателей к использованию уязвимостей нулевого дня для расширения своих возможностей. Microsoft отметила, что аналогичная группа Storm-2460 использовала ущерб от той же уязвимости, однако их методы отличались от подходов Balloonfly.

Хотя злоумышленники-вымогатели традиционно используют уязвимости нулевого дня относительно редко, недавние инциденты подчеркивают увеличение частоты таких атак. Это ставит под сомнение безопасность множества организаций и акцентирует внимание на необходимости постоянной бдительности и быстрого реагирования на обнаруженные уязвимости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Новая угроза: эксплойт нулевого дня CVE-2025-29824 в руках злоумышленников".