به گزارش مایکروسافت گروه باج افزاری RansomEXX در حال بهره برداری از آسیب پذیری Zero-day با شدت بالا در Windows Common Log File System برای دستیابی به مجوزهای سطح SYSTEM، سیستم قربانی است.
این آسیب پذیری CVE-2025-29824 در آپدیت ماه آپریل مایکروسافت که با تازگی منتشر شده، رفع شده است و تاکنون در حملات محدودی مورد بهره برداری قرار گرفته است.
آسیب پذیری مذکور ناشی از ضعف use-after-free است که به مهاجم محلی با دسترسی کم امکان رسیدن به دسترسی های SYSTEM را در حملات با پیچیدگی کم میدهد. همانطور که در خبر قبلی هم اشاره شد مایکروسافت برای ویندوز 10 با تاخیر آپدیت را منتشر خواهد کرد.
به کاربران ویندوز توصیه میشود هر چه سریعتر آپدیت های این ماه را انجام دهند.
مایکروسافت این حملات را به گروه باج افزاری RansomEXX نسبت داده که با عنوان Strom-2460 شناسایی می شوند. مهاجمان در ابتدا یک بدافزار PipeMagic backdoor بر روی سیستم آسیب پذیر نصب کرده و با اکسپلویت آسیب پذیری CVE-2025-29824 پی لودهای باج افزار و فایل متنی بعد از رمزنگاری فایل ها روی سیستم قرار میگیرد.
ماه گذشته ESET گزارش داد که PipeMagic از آسیب پذیری CVE-2025-27983 نیز بهره برداری کرده است.
همچنین در سال 2022 کسپرسکی اعلام کرد که این بدافزار می تواند اطلاعات حساس را به سرقت برده، به سیستم های آلوده دسترسی کامل پیدا کرده و مهاجم می تواند پی لودهای مخرب دیگری به شبکه قربانی تزریق کرده و به صورت جانبی در آن حرکت کند. در سال 2023 نیز کسپرسکی این بدافزار را در حملات باج افزاری Nokoyawa رهگیری کرد.
گروه باج افزاری RansomEXX از سال 2018 شروع به فعالیت کرد و با تغییراتی در سال 2020 فعالیت های آن افزایش یافت و تاکنون به سازمانهای بسیاری حملاتی را انجام داده است.
منبع:
