Play Ransomware ailesine bağlantıları olan tehdit aktörleri, ABD’de isimsiz bir kuruluşu hedefleyen bir saldırının bir parçası olarak Microsoft Windows’ta yakın zamanda yamalı bir güvenlik kusurunu sıfır gün olarak kullandı.
Broadcom’un bir parçası olan Symantec Tehdit Hunter ekibi başına saldırı, ortak günlük dosya sistemi (CLFS) sürücüsünde bir ayrıcalık artış kusuru olan CVE-2025-29824’ten kaldırıldı. Geçen ay Microsoft tarafından düzenlendi.
Balonfly ve PlayCrypt olarak da adlandırılan Play, çift gasp taktikleri ile bilinir, burada hassas veriler bir fidye karşılığında pessfiltrasyondan önce söndürülür. En azından 2012 ortasından beri aktif.
Symantec tarafından gözlemlenen faaliyette, tehdit aktörlerinin, hedef ağdaki başka bir Windows makinesine taşınmak için henüz bir Windows makinesine taşınmak için henüz belirsiz bir yöntemden yararlanarak, bir giriş noktası olarak halka açık bir Cisco uyarlanabilir güvenlik cihazından (ASA) yararlandığı söyleniyor.
Saldırı, daha önce oynamaya atfedilen ısmarlama bir bilgi çalma olan Grixba’nın kullanımı ve müzik klasörüne bırakılan CVE-2025-29824 için bir istismar için dikkate değerdir (Palo Alto Networks yazılımı (EG, “Paloaltoconfig.exe” ve “paloaltoconfig.exe” ve “paloaltoconfig.exe” olarak adlandırılan isimler verir.
Tehdit aktörleri, kurbanların aktif dizinindeki mevcut tüm makineler hakkında bilgi toplamak ve sonuçları bir CSV dosyasına kaydetmek için komutlar çalıştırmıştır.
Symantec, “İstismarın yürütülmesi sırasında C: \ ProgramData \ Skypdf yolunda iki dosya oluşturuluyor.” “İlk dosya PDUDRV.BLF, ortak bir günlük dosyası sistemi temel günlük dosyasıdır ve sömürü sırasında oluşturulan bir eserdir.”
“İkinci dosya, clssrv.inf, winlogon.exe işlemine enjekte edilen bir DLL’dir. Bu DLL, iki ek parti dosyası bırakma yeteneğine sahiptir.”
“Servtask.bat” adı verilen toplu iş dosyalarından biri ayrıcalıkları artırmak, SAM’ı, sistemi ve güvenlik kayıtlarını kovmak, “LocalSvc” adlı yeni bir kullanıcı oluşturmak ve yönetici grubuna kullanılır. “Cmdpostfix.bat” diğer parti dosyası, sömürü izlerini temizlemek için kullanılır.
Symantec, izinsiz girişte hiçbir fidye yazılımı yükü konuşlandırılmadığını söyledi. Bulgular, CVE-2025-29824 için istismarların Microsoft tarafından sabitlenmeden önce birden fazla tehdit aktörüne ulaşabileceğini göstermektedir.
Siber güvenlik şirketi tarafından detaylandırılan sömürünün doğasının, Microsoft’un Truva Dublajlı Pipemagik sunmak için sınırlı bir dizi saldırıda kusurunu silahlandırdığı açıkladığı başka bir etkinlik kümesi ile örtüşmediğini belirtmek gerekir.
CVE-2025-29824’ün sömürülmesi, hedeflere sızmak için sıfır günleri kullanan fidye yazılımı aktörlerinin eğilimine de işaret ediyor. Geçen yıl Symantec, Black Basta grubunun Windows Hata Raporlama Hizmetinde bir ayrıcalık artışı olan CVE-2024-26169’dan sıfır gün olarak yararlanmış olabileceğini açıkladı.
Babuk Fidye Yazılımı Saldırısında Kullanılan Yeni “Kendi Yükleyicinizi Getirin” EDR Bypass
Açıklama, Aon’un Stroz Friedberg Olay Müdahale Hizmetleri, uç nokta güvenlik yazılımını devre dışı bırakmak ve Babuk fidye yazılımını dağıtmak için tehdit aktörleri tarafından istismar edilen kendi yükleyicinizi getiren yerel bir bypass tekniğini detaylandırır.
Şirket başına saldırı, SentinelOn’un son nokta algılama ve yanıt (EDR) sistemini, halka açık bir sunucuda yerel idari erişim elde ettikten sonra Sentinelone ajanının yükseltme/indirgeme işleminde bir kusurdan yararlanarak hedefledi.
Aon araştırmacıları John Ailes ve Tim Mashni, “Kendi yükleyicinizi getirin, tehdit aktörleri tarafından yetersiz yapılandırıldığında ajan güncelleme sürecinin zamanlanmış feshedilmesiyle EDR korumasını bir ana bilgisayarda atlamak için kullanılabilecek bir tekniktir.” Dedi.
Yaklaşım dikkat çekicidir, çünkü güvenlik yazılımlarını silahsızlandırmak için savunmasız sürücülere veya diğer araçlara dayanmaz. Daha ziyade, çalışan EDR temsilcilerini sonlandırmak için aracı yükseltme işlemindeki bir zaman penceresini kullanır ve cihazları korumasız bırakır.
Özellikle, bir MSI dosyası kullanarak yazılımın farklı bir sürümünü yüklemenin, güncelleme gerçekleştirilmeden önce zaten çalıştırılan Windows işlemlerini sonlandırmasına neden olduğu gerçeğini kötüye kullanır.
Kendi yükleyici saldırınızı getirin, esasen meşru bir yükleyiciyi çalıştırmayı ve çalışan hizmetleri kapattıktan sonra bir “TaskKill” komutu yayınlayarak yükleme işlemini zorla sonlandırmayı içerir.
Aon araştırmacıları, “Sentinelone süreçlerinin eski versiyonu yükseltme sırasında sonlandırıldığından ve yeni süreçler yumurtlamadan önce kesintiye uğradığı için, nihai sonuç Sentinelone koruması olmayan bir sistemdi.” Dedi.
Tekniğin diğer uç nokta koruma ürünlerine karşı uygulanabileceğini söyleyen Sentinelone, bu tür baypasların tekrar gerçekleşmesini azaltmak için yerel yükseltme yetkilendirme özelliğine güncellemeler yaptı. Bu, tüm yeni müşteriler için varsayılan olarak etkinleştirmeyi içerir.
Açıklama, Cisco’nun Crytox olarak bilinen bir fidye yazılımı ailesinin, son nokta güvenlik korumalarını kapatmak için saldırı zincirlerinin bir parçası olarak HRSWord’u kullandığını açıkladı.
Hrsword daha önce Babylockerkz ve Phobos fidye yazılımı suşlarının yanı sıra Ahnlab’ın Güney Kore’deki güvenlik çözümlerini sonlandırmak için tasarlanmış saldırılarda gözlemlenmiştir.
Yeni Fidye Yazılımı Trendleri
Fidye yazılımı saldırıları, alan denetleyicileri üzerindeki manzaralarını organizasyonları ihlal etmek için giderek daha fazla eğiterek, tehdit aktörlerinin ayrıcalıklı hesaplara erişim elde etmesine ve birkaç dakika içinde yüzlerce veya binlerce sistemi şifrelemek için merkezi ağ erişimini silahlandırmasına izin verdi.
Microsoft geçen ay, “İnsan tarafından işletilen siber saldırıların% 78’inden fazlası, tehdit aktörleri bir alan denetleyicisini başarıyla ihlal ediyor.”
“Ek olarak, vakaların% 35’inden fazlasında, fidye yazılımlarını ölçekte dağıtmaktan sorumlu sistem olan birincil yayılım cihazı, yaygın şifreleme ve operasyonel bozulmanın sağlanmasında önemli rolünü vurgulayan bir alan denetleyicisidir.”
Son aylarda tespit edilen diğer fidye yazılımı saldırıları, playboy Locker olarak bilinen yeni bir fidye yazılımı (RAAS), nispeten vasıfsız siber suçlulara fidye yazılımı yükleri, yönetim gösterge panoları ve destek hizmetleri içeren kapsamlı bir araç seti sağladı.
Cybereason, “Playboy Locker Raas platformu, bağlı kuruluşlara Windows, NAS ve ESXI sistemlerini hedefleyen fidye yazılımı ikili dosyaları oluşturmak için çok sayıda seçenek sunarak farklı operasyonel gereksinimlere uygun özel konfigürasyonlar sunuyor.” Dedi. “Playboy Locker Raas operatörleri düzenli güncellemeleri, algılama önleme özelliklerini ve hatta bağlı kuruluşlar için müşteri desteğini reklam veriyor.”
Gelişmeler ayrıca, Mart 2025 sonunda aniden durduran bir Raas şeması olan Ransomhub’ın kontrolünü iddia eden bir e-suç grubu olan Dragonforce tarafından fidye yazılımı kartelinin piyasaya sürülmesiyle de çakıştı.
Beyaz etiket markalaşma hizmeti, bağlı kuruluşların Dragonforce fidye yazılımlarını ek bir ücret karşılığında farklı bir zorlama olarak gizlemesine izin vermek için tasarlanmıştır. Tehdit oyuncusu, başarılı fidye yazılımı ödemelerinden% 20’lik bir pay aldığını ve iştiraklerin kalan% 80’i korumasını sağladığını iddia ediyor.
Dragonforce, Ağustos 2023’te ortaya çıktı ve tam teşekküllü bir fidye yazılımı operasyonuna dönüşmeden önce kendisini Filestin yanlısı bir hacktivist operasyonu olarak konumlandırdı. Son haftalarda RAAS Sendikası, Harrods, Marks ve Spencer ve Co-op gibi İngiltere perakendecilerini hedeflemesine dikkat çekti.
Sentinelone, “Bu hamle, Dragonforce’un kendisini ‘fidye yazılımı karteli’ olarak markaya zorlamasıyla birlikte, grubun bir ekosistem sağlayarak Crumaware manzarasındaki profilini yükseltme arzusunu gösteriyor.” Dedi. “Bu model altında, Dragonforce altyapı, kötü amaçlı yazılım ve sürekli destek hizmetleri sunarken, bağlı kuruluşlar kendi markaları altında kampanyalar yürütüyor.”
BBC News’ten gelen bir rapora göre, İngiltere perakende sektörüne yönelik saldırıların kötü şöhretli bir tehdit grubu ve dağınık örümcek olarak bilinen bir Ransomhub üyesi tarafından düzenlendiğine inanılıyor (aka Octo Tempest veya UNC3944).
Google’a ait olan Maniant, “UNC3944 içeren tehdit aktörlerinin, genellikle büyük miktarlarda kişisel olarak tanımlanabilir bilgi (PII) ve finansal verilere sahip oldukları göz önüne alındığında, perakende kuruluşları cazip hedefler olarak görmeleri makul.” Dedi.
Diyerek şöyle devam etti: “Ayrıca, bir fidye yazılımı saldırısı finansal işlemleri işleme yeteneklerini etkiliyorsa, bu şirketlerin fidye talebi ödemesi daha olası olabilir.”
Fidye yazılımı saldırıları 2024’te% 25’lik bir artışa tanık oldu ve fidye yazılımı grubu sızıntı alanlarının sayısı% 53 arttı. Bitsight, parçalanma, her zaman bu tür tehditlerle başa çıkacak kaynaklara sahip olmayabilecek orta ölçekli organizasyonlara çarpan daha küçük, daha çevik çetelerin gelişidir.
Güvenlik araştırmacısı Dov Lerner, “Fidye yazılımı gruplarının çoğalması, kolluk kuvvetlerinin onları kapatabileceğinden daha hızlı arttıkları anlamına geliyor ve daha küçük kuruluşlara odaklanmaları herkesin bir hedef olabileceği anlamına geliyor.” Dedi.