مهاجمان مرتبط با عملیات باجافزار Play، پیش از انتشار بهروزرسانی امنیتی مایکروسافت در ۸ آوریل ۲۰۲۵، از یک نقص روز صفر در سیستمعامل ویندوز با شناسه CVE-2025-29824 سوءاستفاده کردند. این نقص، که در درایور Common Log File System (CLFS) قرار دارد، به مهاجمان امکان میدهد دسترسی خود را از سطح کاربر معمولی به سطح کامل سیستم ارتقا دهند. این آسیبپذیری با امتیاز CVSS :۷.۸ (سطح بالا) در بهروزرسانیهای امنیتی Patch Tuesday آوریل ۲۰۲۵ برطرف شده است.
این نقص به مهاجمان اجازه میدهد بدافزارهای مخرب را اجرا کرده و امنیت سازمانها را در معرض خطر قرار دهند. اهداف این حملات شامل سازمانهایی در حوزه فناوری اطلاعات و املاک در ایالات متحده، بخش مالی ونزوئلا، یک شرکت نرمافزاری در اسپانیا و بخش خردهفروشی در عربستان سعودی بوده است.
سوءاستفاده از آسیبپذیری CVE-2025-29824
مرکز تحلیل تهدیدات مایکروسافت (MSTIC) و مرکز پاسخگویی امنیتی مایکروسافت (MSRC) فعالیتهای سوءاستفاده از این نقص را به گروه تهدید Storm-2460 نسبت دادهاند، که از بدافزار PipeMagic در کمپینهای باجافزاری خود بهره میبرد. این بدافزار پیشتر توسط شرکتهای کسپرسکی و ESET در حملات مرتبط با نقص CVE-2025-24983 شناسایی شده بود.
تحلیل فنی نشان داد که این نقص در درایور هستهای CLFS قرار دارد و از یک اشکال استفاده پس از آزادسازی (use-after-free) بهره میبرد. مهاجمان از API به نام NtQuerySystemInformation برای نشت اطلاعات سیستمی به فضای کاربری استفاده کردند، اما این API در ویندوز ۱۱ نسخه 24H2 فقط برای کاربران با امتیازات مدیریتی (SeDebugPrivilege) قابل دسترسی است، که باعث میشود این نقص در این نسخه قابل اکسپلویت نباشد.
همچنین، مهاجمان با استفاده از فساد حافظه(memory corruption) و API به نام RtlSetAllBits، توکن فرآیند را به 0xFFFFFFFF بازنویسی کرده و تمامی مجوزهای سیستمی را به دست آوردند، که امکان تزریق به فرآیندهای سطح سیستم را فراهم ساخت.
فرآیند حمله شامل موارد زیر بوده است:
- استفاده از ابزار certutil برای دانلود فایل MSBuild آلوده از یک وبسایت مشروع هکشده، که حاوی بدافزار رمزگذاریشده PipeMagic بود.
- ایجاد فایل CLFS BLF به نام C:\ProgramData\SkyPDF\PDUDrv.blf توسط فرآیند dllhost.exe.
- تزریق پیلود به فرآیند winlogon.exe، که امکان استخراج اطلاعات ورود کاربران از حافظه LSASS را با ابزار procdump.exe از مجموعه Sysinternals فراهم کرد.
- ایجاد کاربران مدیریتی جدید و برقراری پایداری در سیستم هدف.
- اجرای باجافزار از طریق exe با دستور do [path_to_ransom]، مانند:
C:\Windows\system32\dllhost.exe --do C:\foobar
در این حملات، فایلهای رمزگذاریشده با پسوند تصادفی و یادداشت باجگیری با نام !READ_ME_REXX2!.txt مشاهده شدند. یادداشتهای باجگیری شامل دو دامنه .onion بودند:
- jbdg4buq6jd7ed3rd6cynqtq5abttuekjnxqrqyvk4xam5i7ld33jvqd.onion، مرتبط با باجافزار RansomEXX
- uyhi3ypdkfeymyf5v35pbk3pz7st3zamsbjzf47jiqbcm3zmikpwf3qd.onion
گروه باجافزار Play
گروه باجافزار Play، که از ژوئن ۲۰۲۲ فعال است، به دلیل استفاده از روش اخاذی دوگانه شناخته شده است، که شامل استخراج اطلاعات حساس و سپس رمزگذاری آنها میشود. این گروه ابزارهای سفارشی مانند Grixba را توسعه داده، که گاهی بهصورت نرمافزارهای امنیتی جعلی مانند نسخههای تقلبی SentinelOne و Palo Alto Networks پنهان شدهاند. سوءاستفاده این گروه از یک نقص روز صفر نشاندهنده پیشرفت قابلتوجه در قابلیتهای آنهاست، زیرا سوءاستفاده از چنین نقصهایی در حملات باجافزاری نادر است.
تیم شکار تهدید شرکت Symantec گزارش داده که گروه باجافزار Play، با نامهای Balloonfly و PlayCrypt، یک سازمان ناشناس در ایالات متحده را هدف قرار داده و احتمالا از طریق یک دستگاه عمومی Cisco Adaptive Security Appliance (ASA) به آن نفوذ کرده است. هرچند در این حمله خاص باجافزاری مستقر نشد، مهاجمان از ابزار رباینده اطلاعات Grixba، که پیشتر به این گروه نسبت داده شده، استفاده کردند.
توصیه امنیتی
سازمانها باید بهروزرسانیهای امنیتی منتشرشده در ۸ آوریل ۲۰۲۵ را فورا بر روی سیستمهای دارای نسخههای آسیبپذیر ویندوز نصب کنند. کاربران ویندوز ۱۱ نسخه 24H2 به دلیل تدابیر امنیتی پیشرفته از این نقص مصون هستند.
این حادثه بر اهمیت نصب بهموقع بهروزرسانیها، بهویژه برای نقصهایی که امکان ارتقای دسترسی را فراهم میکنند، تأکید دارد؛ زیرا این نقصها در حملات باجافزاری نقش حیاتی دارند. سازمانها میتوانند شاخصهای نفوذ (IoC) مرتبط را از این لینک بررسی کنند تا سیستمهای خود را در برابر این تهدید ایمن سازند.
منابع:
