استفاده از باگ روز صفر در حملات باج‌افزاری به شرکت‌های املاک آمریکایی

به گزارش کارگروه امنیت خبرگزاری سایبربان، مایکروسافت روز سه‌شنبه در کنار انتشار وصله‌های امنیتی ماهانه‌ی خود (Patch Tuesday) در یک پست وبلاگی جزئیاتی از این آسیب‌پذیری را منتشر کرد.

این شرکت توضیح داد که هکرها چگونه از این نقص بهره‌برداری کرده‌اند و از نوعی بدافزار به نام پایپ مجیک (PipeMagic) استفاده کرده‌اند، پیش از آنکه باج‌افزار را روی سیستم‌های قربانی مستقر کنند.

این آسیب‌پذیری روز صفر با کد CVE-2025-29824 به راننده‌ی سیستم ثبت وقایع ویندوز (Windows Common Log File System Driver) یا CLFS مربوط می‌شود؛ هدفی رایج برای گروه‌های باج‌افزاری.

CLFS چارچوبی برای ثبت گزارشات است که نخستین‌بار در ویندوز سرور 2003 نسخه R2 معرفی شد و در سیستم‌عامل‌های بعدی ویندوز گنجانده شده است.

این سیستم به کاربران امکان می‌دهد مجموعه‌ای از مراحل موردنیاز برای انجام برخی اقدامات را ثبت کنند تا بتوان آن‌ها را در آینده به‌طور دقیق تکرار کرد یا بازگرداند.

طبق گفته مایکروسافت، این کمپین تنها “تعداد کمی هدف” داشته است که شامل شرکت‌های فناوری اطلاعات و املاک در آمریکا، شرکت‌های مالی در ونزوئلا، یک شرکت نرم‌افزاری در اسپانیا و سازمان‌های خرده‌فروشی در عربستان سعودی می‌شود.

مایکروسافت روز سه‌شنبه به‌روزرسانی امنیتی مربوط به CVE-2025-29824 را منتشر کرد.

مایکروسافت اطلاعات بیشتری درباره هکرهای پشت این حملات ارائه نکرد و تنها از آن‌ها با نام طوفان – 2460 (Storm-2460) یاد کرد.

این آسیب‌پذیری، تنها باگی از وصله‌های سه‌شنبه‌ی مایکروسافت بود که در فهرست آسیب‌پذیری‌های بهره‌برداری‌شده‌ی آژانس امنیت سایبری و زیرساخت آمریکا (CISA) درج شد.

پژوهشگران مایکروسافت و چند متخصص امنیت سایبری دیگر اعلام کردند CVE-2025-29824 نگران‌کننده است، چراکه به هکرها اجازه می‌دهد در سیستمی که پیش‌تر به آن نفوذ کرده‌اند، دسترسی خود را افزایش دهند.

بن مک‌کارتی، مهندس ارشد امنیت سایبری در شرکت ایمرسیو (Immersive) بیان کرد:

این نوع آسیب‌پذیری در سناریوهای پس از نفوذ، به‌ویژه خطرناک است. زمانی که مهاجم از طریق فیشینگ، بدافزار یا روش‌های دیگر به یک دستگاه نفوذ پیدا کند، می‌تواند از این باگ استفاده کند تا سطح دسترسی خود را بالا ببرد، در سیستم باقی بماند و به دیگر بخش‌های شبکه‌ی سازمان نفوذ کند. این دسته از آسیب‌پذیری‌ها از انواع محبوب در حملات هدفمند و عملیات‌های باج‌افزاری محسوب می‌شوند.

مایکروسافت همچنین اشاره کرد که گروه‌های باج‌افزاری به‌ویژه به باگ‌های پس از نفوذ مانند CVE-2025-29824 علاقه‌مند هستند، چراکه به آن‌ها اجازه می‌دهد دسترسی اولیه، حتی اگر از سوی توزیع‌کنندگان بدافزارهای عمومی باشد، به سطح دسترسی‌های بالا تبدیل شود.

این دسترسی گسترده‌تر باعث می‌شود باج‌افزار با اثرگذاری بیشتری اجرا شود و آسیب‌های بسیار بیشتری به بار آورد.

در حملاتی که مایکروسافت ردیابی کرده، تیم‌های پاسخ‌گو به حادثه نتوانستند نحوه‌ی دسترسی اولیه هکرها را شناسایی کنند.

اما پس از دسترسی، مهاجمان بدافزار پایپ مجیک را مستقر کردند؛ بدافزاری که پژوهشگران شرکت‌های ایست و کسپرسکی (Kaspersky) سال‌هاست آن را ردیابی می‌کنند.

شرکت ایست (ESET) پیش‌تر استفاده از این بدافزار را در بهره‌برداری از آسیب‌پذیری دیگری با کد CVE-2025-24983 مستندسازی کرده بود.

مایکروسافت موفق به دریافت نمونه‌ای از باج‌افزار برای تحلیل نشد، اما دو سرنخ در یادداشت‌های باج‌خواهی یافت که پیش‌تر با خانواده‌ی باج‌افزاری رنسوم اکس (RansomEXX) مرتبط بودند.

مک‌کارتی از شرکت ایمرسیو تأکید کرد که با وجود تأیید مایکروسافت بر سوءاستفاده فعال از این باگ، هنوز وصله مشخصی برای سیستم‌های ویندوز 10 با نسخه‌های 32 یا 64 بیتی منتشر نشده است.

وی اظهار کرد:

نبود وصله، شکاف مهمی در دفاع از بخش بزرگی از اکوسیستم ویندوز باقی می‌گذارد. در نبود به‌روزرسانی امنیتی، سازمان‌ها باید اقدامات پیشگیرانه‌ای برای کاهش ریسک انجام دهند. توصیه می‌شود تیم‌های امنیتی فعالیت درایور CLFS را به دقت با استفاده از ابزارهای EDR/XDR زیر نظر بگیرند.

ست هویت، مهندس ارشد امنیت در شرکت اوتوموکس (Automox) افزود:

با سطح دسترسی‌ای که این آسیب‌پذیری فراهم می‌کند، یک هکر می‌تواند برنامه نصب کند، سیستم‌های حفاظتی را غیرفعال کرده و بدون مانع خاصی درون شبکه حرکت کند.