据悉,Play勒索软件团伙在零日攻击中利用了一个Windows常用日志文件系统的高严重性漏洞,该漏洞编号为CVE-2025-29824。攻击者通过这一漏洞获取了系统权限,并在受感染的系统上部署了恶意软件。根据微软的报告,这一漏洞已在上个月的补丁星期二中得到修复,但仍被用于有限次数的攻击。
这些攻击的目标包括美国的信息技术和房地产行业、委内瑞拉的金融部门、西班牙的一家软件公司以及沙特阿拉伯的零售业。微软将这些攻击与RansomEXX勒索软件团伙联系起来,称攻击者安装了PipeMagic后门程序,用于投放CVE-2025-29824漏洞并部署勒索软件载荷。
此外,Symantec的威胁猎人团队也发现了证据,将这些攻击与Play勒索软件即服务操作相关联。据称,攻击者在入侵美国某组织的网络后,部署了CVE-2025-29824零日权限提升漏洞。虽然此次入侵中未部署勒索软件载荷,但攻击者使用了与Play勒索软件相关的Balloonfly团伙自定义工具Grixba。
Play勒索软件团伙自2022年6月起活跃,以双重勒索攻击闻名,要求受害者支付赎金以避免被盗数据泄露。