عوامل تهدید مرتبط با خانواده باجافزاری Play، آسیبپذیری اخیراً وصله شده در سیستم عامل مایکروسافت ویندوز را اکسپلویت کردند.
به گزارش تیم شکار تهدید Symantec وابسته به شرکت Broadcom، حملات روز صفر با سو استفاده از نقص امنیتی ارتقاء سطح دسترسی (سطح SYSTEM) در درایور Common Log File System (CLFS) با شناسه CVE-2025-29824 جهت استقرار بدافزار صورت گرفته است. گروه باجافزاری Play (با نامهای Balloonfly و PlayCrypt نیز شناخته میشود) که دستکم از اواسط سال 2022 فعال است، به استفاده از تاکتیک اخاذی دوگانه (double extortion) شهرت دارد و دادههای حساس قربانی را پیش از رمزگذاری استخراج کرده و سپس در ازای عدم افشای آنها، طلب باج میکند. در فعالیت رصد شده توسط Symantec، عاملان نفوذگران با استفاده از Cisco Adaptive Security Appliance (ASA) که در دسترس عموم قرار دارد، به عنوان نقطه ورود استفاده کردهاند و از روشی نامشخص برای انتقال به دستگاه ویندوزی دیگری در شبکه هدف بهره بردهاند. این حمله به سبب استفاده از سارق اطلاعات سفارشی Grixba منتسب به Play و اکسپلویت CVE-2025-29824 قابل توجه است که در پوشه Music قرار داده شده و با نامهایی تحت عنوان نرمافزار Palo Alto Networks (به عنوان مثال، “paloaltoconfig.exe” و “paloaltoconfig.dll“) ظاهر میشود. همچنین بر اساس مشاهدات، عاملان تهدید دستوراتی را برای جمعآوری اطلاعات در مورد تمام دستگاههای موجود در Active Directory قربانیان اجرا میکنند و نتایج را در یک فایل CSV ذخیره میکنند.
https://www.security.com/threat-intelligence/play-ransomware-zero-day
https://thehackernews.com/2025/05/play-ransomware-exploited-windows-cve.html
https://www.bleepingcomputer.com/news/security/play-ransomware-exploited-windows-logging-flaw-in-zero-day-attacks/
