Oyun fidye yazılımı operasyonu ile bağlantılı tehdit aktörleri, 8 Nisan 2025’te düzenlenmeden önce Microsoft Windows’ta sıfır gün güvenlik açığından yararlandı.
CVE-2025-29824 olarak izlenen güvenlik açığı, Windows Ortak Günlük Dosya Sistemini (CLFS) sürücüsünü etkiler ve saldırganların ayrıcalıklarını standart kullanıcıdan tam sistem erişimine yükseltmesine izin verir.
Symantec Tehdit Hunter ekibi, Play Fidyeware Group’a (Balonfly veya PlayCrypt olarak da bilinir) bağlı saldırganların ABD’de, muhtemelen halka açık bir Cisco Adaptif Güvenlik Cihazı (ASA) bir giriş noktası olarak kullanan isimsiz bir kuruluşu hedeflediğini bildirdi.
.png
)
Keşfedilen izinsiz girişte hiçbir fidye yazılımı yükü dağıtılmasa da, saldırganlar daha önce Play fidye yazılımı işlemiyle ilişkilendirilmiş Grixba adlı özel bir bilgi çalma aracı kullandı.
Microsoft’un Tehdit İstihbarat Merkezi (MSTIC) ve Güvenlik Müdahale Merkezi (MSRC), sömürü faaliyetinin fidye yazılımı kampanyalarında pipemagik kötü amaçlı yazılımları dağıtan Storm-2460 adlı bir tehdit grubuna atfedildiğini tespit etti.
Hedefler, ABD Bilgi Teknolojisi (BT) ve emlak sektörlerindeki kuruluşları, Venezuela’nın finans sektörü, bir İspanyol yazılım şirketi ve Suudi Arabistan’ın perakende sektörünü içeriyordu.
Windows 0 günlük güvenlik açığının sömürülmesi
Microsoft, güvenlik danışmanında, “Fidye yazılımı tehdit aktörleri, ayrıcalık istismarlarının gelişim sonrası yükselmesine değer veriyor çünkü bunlar güvenlik danışmanlığında başlangıç erişimi erişimi artırmalarını sağlayabilir” dedi.
7.8 (yüksek) CVSS puanı alan güvenlik açığı, Microsoft’un Nisan 2025 Patch Salı güncellemelerinin bir parçası olarak ele alındı ve bu da toplam 121 güvenlik açığını giderdi.
Teknik analiz, sömürünün sofistike bir saldırı zinciri içerdiğini ortaya koydu. Güvenlik açığı CLFS çekirdek sürücüsünde bulunur ve saldırganların kullanılmayan bir durumdan yararlanmasına izin verir. İstismar yürütme sırasında saldırganlar, winlogon.exe işlemine enjekte edilen bir DLL de dahil olmak üzere C: \ ProgramData \ Skypdf yolunda dosyalar oluşturdular.
Bu, sysinternals ProcDump.exe gibi araçları kullanarak LSASS bellekinden kimlik bilgilerini çıkarmalarına, yeni yönetici kullanıcıları oluşturmalarını ve kalıcılık oluşturmalarını sağladı.
Haziran 2022’den beri aktif olan Play Ransomware Group, hassas verilerin şifrelemeden önce ortaya çıktığı çift uzatma taktiklerini dağıttığı bilinmektedir.
Grup daha önce Grixba gibi sahte Sentinelone ve Palo Alto Networks uygulamaları da dahil olmak üzere meşru güvenlik yazılımı olarak gizlenmiş özel araçlar geliştirmiştir.
Araştırmacılar, fidye yazılımı aktörleri nadiren sıfır gün güvenlik açıkları kullanırken, bunun yeteneklerinde bir yükselişe işaret ettiğini belirtti.
Kuruluşlara, özellikle Windows’un savunmasız sürümlerini çalıştıran sistemler için 8 Nisan 2025’te yayınlanan güvenlik güncellemelerini uygulamaları şiddetle tavsiye edilir.
Microsoft, Windows 11 sürüm 24H2’yi çalıştıran müşterilerin zaten mevcut güvenlik azaltmaları nedeniyle bu güvenlik açığından etkilenmediğini özellikle belirtti.
Bu olay, fidye yazılımı taktiklerinin sürekli evrimini ve özellikle fidye yazılımı saldırı zincirlerindeki kritik bileşenler olan ayrıcalık artışını sağlayan güvenlik açıkları için hızlı yama yapmanın önemini vurgulamaktadır.
IOC’ler
İşte CVE-2025-29824’ten yararlanan Play Ransomware kampanyasına bağlı uzlaşma göstergeleri (IOCS) tablosu:
| Doğramak | Dosya adı | Tanım | Algılama/kötü amaçlı yazılım adı |
|---|---|---|---|
| 6030C4381B8B5D5C5734341292316723A89F1BDBD2D10BB67C4D06B1242AFD05 | gt_net.exe | Grixba Infostealer Aracı | İnfostealer.grixba1 |
| 858efe4f9037e5efebadaaa70aa8ad096f7244c4c4aeade72c51ddad23d05bfe | Go.exe | CVE-2025-29824 İkili istismar | N/A1 |
| 9C21ADBCB2888DAF14EF55C4FA1F41EAA6CBFBE20D85C3E1DA61A96A53BA18F9 | Clssrv.inf | Winlogon.exe’ye enjekte edildi | Yük yükü1 |
| 6d7374b4f977f689389c7155192b5db70e4a7645625ecf8163c00da8828388 | cmdpostfix.bat | Artefakt temizleme betiği | Kötü amaçlı parti dosyası1 |
| B2cba01ae6707ce694073018d948f82340b9c41fb2bc49769f9a0be37071e1 | Servtask.bat | Ayrıcalık artış/kullanıcı oluşturma betiği | Kötü amaçlı parti dosyası1 |
| 293b45b5b7e1c2063a8781f3c169cf8f2b1d06e6b7a086b7b44f37f55729bd | Paloaltoconfig.dll | Masqueraded Palo Alto Networks Aracı | Bilinmeyen kötü niyetli DLL1 |
| AF260C172BAFFD0E8B2671FD0C84E607AC9B2C8BEB57DF43CF5DF6E103CBB7AD | paloaltoconfig.exe | Masqueraded Palo Alto Networks Aracı | Bilinmeyen kötü niyetli exe1 |
| 430D1364D0D0A60FACD9B73E674FADDFF63A8F7649CD10BA85DF7E49189980B | 1day.exe | Şüpheli istismarla ilgili hizmet | Bilinmeyen kötü niyetli exe1 |
Vergi dolandırıcılığı daha akıllı hale geliyor – Domain Research Suite ile kötü niyetli alan adlarını kontrol edin