記事本文(要約)
複数のランサムウェアグループが、Microsoftが2025年4月にパッチを公開する前に、Windowsの特権昇格脆弱性(CVE-2025-29824)を悪用していたことが判明しました。この脆弱性はWindowsの共通ログファイルシステムドライバーにおけるもので、成功するとシステムレベルの特権を取得できます。
Microsoftは、Storm-2460というグループがこのゼロデイ脆弱性を利用して、少数の組織にランサムウェアを配布していたことを確認しています。また、シマンテックは、Playランサムウェアを操るBalloonflyという別のグループが、米国の組織に対してこの脆弱性を悪用していたことを発見しました。Balloonflyは、侵入時にPlayランサムウェアの代わりにカスタム情報窃取ツールGrixbaを使用し、様々な不正ツールを展開していました。
CVE-2025-29824はCVSSスコア7.8で、攻撃者が成功するとシステムへの非許可アクセスが可能になります。BalloonflyはCiscoのファイアウォールを経由して侵入し、Windowsマシンに移動して脆弱性を悪用しました。また、このグループは正規のツールを悪用することで、検出を回避しています。Microsoftは、この脆弱性に対するパッチの迅速な適用を強く推奨しています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 07 May 2025 20:08:42 GMT
Original URL: https://www.darkreading.com/cyberattacks-data-breaches/play-ransomware-group-windows-zero-day
詳細な技術情報
CVE番号および脆弱性の概要
- CVE番号: CVE-2025-29824
- 脆弱性の種類: Windows Common Log File System Driverにおける特権昇格の脆弱性
- CVSSスコア: 7.8
- 概要: この脆弱性はポストコンプロマイズ時に利用され、攻撃者が影響を受けたシステムでシステムレベルの特権を獲得できる特権昇格バグです。
攻撃手法
- 初期アクセスの取得: Balloonflyはパブリックに露出したCiscoファイアウォールを経由して初期アクセスを獲得した可能性があります。
- 横移動とエクスプロイトの展開: 初期アクセス後、ネットワーク内の他のWindowsマシンに移動し、CVE-2025-29824のエクスプロイトを展開します。
- マルウェアの展開: Grixbaインフォスティーラーやその他のマルウェアを展開しました。また、ファイルレスのインメモリエクスプロイトと異なるファイルベースのエクスプロイトを使用。
潜在的な影響
- 攻撃者がシステムレベルの特権を取得し、システム内での永続性の確保や横移動が可能になります。
- マルウェア配信、情報盗難、さらなる攻撃のための基盤を提供する可能性があります。
推奨される対策
- パッチ適用: MicrosoftはCVE-2025-29824のパッチを提供しており、迅速なパッチ適用が推奨されます。
- ネットワークセキュリティの強化: パブリックに露出するシステムやデバイスを制限し、ファイアウォールやIDS/IPSを利用して不正アクセスを防ぎます。
- 監視とログ分析: 特権昇格に関連するシステムのログを監視し、異常の早期検知を目指します。
- セキュリティ意識の向上: 組織内でのセキュリティ意識を高め、フィッシング攻撃やソーシャルエンジニアリングへの注意を促します。
- バックアップと復元計画: 定期的なデータバックアップと安全なデータ復元体制を整備します。
その他の注目点
- 攻撃者のプロファイル: Balloonfly(Playランサムウェアグループ)は、ダブルエクストーション戦術を用いてデータを流出させる前に暗号化する技術を使用しています。攻撃は先進的な戦術、技術、および手続き(TTP)を駆使しており、合法的なツールの悪用が観測されています。
- 注意すべきツール: Cobalt Strike、Mimikatz、ProcDump、AdFind、WinPEASなどが用いられており、これらのツールの監視が重要です。
