RansomEXX: Bí mật lỗ hổng zero-day của Windows và cuộc chiến chống Ransomware

09/04/2025
2 mins read

Nhóm ransomware đang tích cực khai thác lỗ hổng zero-day trong Hệ thống Tệp Nhật ký Chung của Windows (CLFS), được theo dõi với mã CVE-2025-29824, được xác định là RansomEXX, còn được biết đến với cái tên Storm-2460. Nhóm này đã sử dụng phần mềm độc hại PipeMagic để truyền tải exploit và mã độc ransomware đến các hệ thống mục tiêu.

Điểm chính về lỗ hổng:

  1. Chi tiết về lỗ hổng:
    • Lỗ hổng là một lỗi zero-day với mức độ nghiêm trọng cao trong CLFS của Windows, cho phép kẻ tấn công cục bộ với quyền hạn thấp giành quyền SYSTEM.
    • Lỗ hổng này nhắm vào một điểm yếu sử dụng sau khi giải phóng trong driver nhân CLFS, có thể bị khai thác mà không cần sự tương tác của người dùng.
  2. Phương pháp khai thác:
    • Exploit sử dụng API `NtQuerySystemInformation` để rò rỉ địa chỉ nhân sang chế độ người dùng. Tuy nhiên, phương pháp này không hiệu quả trên Windows 11, phiên bản 24H2 do có sự thay đổi trong quyền truy cập đến một số Lớp Thông tin Hệ thống.
    • Exploit sau đó sử dụng nhiễu bộ nhớ và API `RtlSetAllBits` để ghi đè token của quá trình exploit với giá trị 0xFFFFFFFF, cho phép tất cả quyền hạn cho quá trình này.
  3. Hoạt động sau khai thác:
    • Sau khi giành được quyền SYSTEM, các kẻ tấn công tiêm một payload vào `winlogon.exe`, sau đó tiêm công cụ `procdump.exe` của Sysinternals vào một quá trình `dllhost.exe` khác để trích xuất bộ nhớ của LSASS và lấy thông tin xác thực người dùng.
    • Các kẻ tấn công sau đó mã hóa các tệp trên hệ thống với một phần mở rộng ngẫu nhiên và thả một ghi chú đòi tiền với tên là `_READ_ME_REXX2_!.txt`, liên quan đến gia đình mã độc RansomEXX.
  4. Mục tiêu và tác động:
    • Các mục tiêu bao gồm các tổ chức trong lĩnh vực CNTT và bất động sản tại Hoa Kỳ, lĩnh vực tài chính tại Venezuela, một công ty phần mềm Tây Ban Nha và lĩnh vực bán lẻ tại Ả Rập Saudi.
    • Microsoft đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng, nhưng đã trì hoãn phát hành bản vá cho các hệ thống Windows 10 x64 và 32-bit, bản vá này sẽ được phát hành sớm nhất có thể.
  5. Biện pháp giảm thiểu và khuyến nghị:
    • Microsoft rất khuyến nghị các tổ chức ưu tiên áp dụng các bản cập nhật bảo mật cho các lỗ hổng nâng cao quyền hạn nhằm thêm một lớp phòng thủ chống lại các cuộc tấn công ransomware.
    • Các tổ chức cũng nên tận dụng các công cụ phát hiện và phản hồi điểm cuối hoặc công cụ phát hiện và phản hồi mở rộng để theo dõi driver CLFS và phát hiện các cố gắng khai thác tiềm năng.

Bối cảnh bổ sung:

  • Phần mềm độc hại PipeMagic đã được sử dụng để triển khai các exploit nhắm vào lỗ hổng zero-day trong Hệ thống Con Kernel Win32 của Windows (CVE-2025-24983) kể từ tháng 3 năm 2023.
  • Hoạt động ransomware RansomEXX bắt đầu dưới tên Defray vào năm 2018 nhưng đã được tái thương hiệu thành RansomEXX và trở nên hoạt động tích cực hơn kể từ tháng 6 năm 2020.
  • Nhóm này đã nhắm đến các tổ chức có danh tiếng cao, bao gồm gã khổng lồ phần cứng máy tính GIGABYTE, Konica Minolta, Sở Giao thông Vận tải Texas (TxDOT), hệ thống tòa án Brazil, hệ thống giao thông công cộng Montreal’s STM, và nhà cung cấp phần mềm chính phủ Tyler Technologies.