ランサムウェア グループがWindowsのゼロデイ 脆弱性をサイバー攻撃に悪用(CVE-2025-29824)

2025年4月8日にMicrosoftから修正パッチが公開されたWindowsのカーネルドライバ「clfs.sys」に関する特権昇格のゼロデイ脆弱性（CVE-2025-29824）について、Playランサムウェアに関連する攻撃者グループ「Balloonfly」が実際にゼロデイ攻撃に悪用していたことが、Symantec Threat Hunter Teamの調査により判明しました。

今回の攻撃では最終的なランサムウェアの展開には至っていないものの、攻撃初期段階で独自の情報窃取ツール「Grixba」が使用されており、攻撃インフラの構築が進行していた痕跡が確認されています。

ゼロデイ脆弱性の概要：CVE-2025-29824

この脆弱性は「Use After Free」型で、ローカルの認証済み攻撃者がSYSTEM権限を奪取できる恐れがあり、RansomEXXランサムウェアグループによってすでに悪用されていたことが報告されています。CISA（米サイバーセキュリティ・インフラセキュリティ庁）はこの脆弱性を「既知の悪用済み脆弱性カタログ(KEV」に追加し、4月29日までにパッチを適用するよう呼びかけていました。

攻撃の流れと手口

今回確認された攻撃は、Playランサムウェアと関係のあるグループ「Balloonfly」によるものです。攻撃の起点は、外部に公開されていたCisco ASAファイアウォールであった可能性が高く、ここから内部ネットワークへの侵入が始まったとみられます。

その後、攻撃者は内部のWindows端末にアクセスを移し、複数のファイルを展開しています。確認されているファイルは、Palo Alto製品を装った偽装ファイル（例：paloaltoconfig.exe / .dll）や、1day.exeという名称の不明な実行ファイルです。

また、攻撃に使用されたゼロデイ脆弱性（CVE-2025-29824）を悪用するためのファイル（go.exe）も含まれていました。

この端末では、Active Directory内の全端末情報をPowerShell経由で取得するコマンドが実行されており、組織全体のシステム構成を把握しようとした形跡があります。

続いて、Windowsのカーネルドライバ「clfs.sys」に存在するゼロデイ脆弱性を突いた特権昇格のエクスプロイトが実行されました。このエクスプロイトは、2つのスレッドを用いてドライバ処理に競合状態を作り出すことで、既に解放されたメモリを再利用し、カーネルメモリの書き換えに成功しています。

その結果、攻撃者は「winlogon.exe」プロセスにDLL（clssrv.inf）をインジェクトし、さらにバッチファイルをドロップ。このうち「servtask.bat」は以下のような処理を行っていました。

• SAM / SYSTEM / SECURITYレジストリハイブの保存（資格情報の抽出目的）

• 管理者権限を持つローカルアカウント「LocalSvc」の作成

• レジストリ設定によるアカウントの隠蔽と制限回避

• サービスの一時停止・再開処理

• 一連の作業後のログ・証拠ファイルの削除

一方、「cmdpostfix.bat」は攻撃用DLLや関連ファイルの痕跡を削除するために使用されており、フォレンジック調査を困難にする意図が見受けられます。

バッチファイルの実行には、Windowsのスケジュールタスク機能（schtasks）が悪用され、既存タスクの設定を上書きして任意コードを実行する手口が用いられていました。

なお、ランサムウェアの暗号化処理自体は行われていないことから、情報収集や足場構築の段階で攻撃が検知された可能性が高いと考えられます。

脆弱性の技術的な悪用内容

悪用された脆弱性は、WindowsのCommon Log File System（CLFS）ドライバにおける競合状態（race condition）を突くもので、以下のような手順で特権昇格が実現されています。

1. 攻撃者はCreateFileW() APIを使い、CLFSドライバ経由で仮想ファイルを開く。

2. 2つのスレッドを用い、片方でCloseHandle()を、もう片方でDeviceIoControl()を同時に呼び出す。

3. 処理順のタイミングによって、CLFSドライバが既に解放済みの構造体を参照してしまい、任意のカーネルメモリ領域への書き換えが可能になる。

4. この過程でDLL「clssrv.inf」がwinlogon.exeにインジェクトされ、管理者権限の取得に使われる2つのバッチファイルを生成。

バッチファイル「servtask.bat」は新たなローカル管理者アカウント「LocalSvc」を作成し、SAM/SECURITY/SYSTEMハイブのダンプを実行します。その後、痕跡を隠蔽するための「cmdpostfix.bat」が実行され、ファイルやレジストリのクリーニング処理が施されます。

他グループも同脆弱性を悪用の可能性

Microsoftの発表によると、CVE-2025-29824は米国、ベネズエラ、スペイン、サウジアラビアの組織に対して少数ながら実際に悪用されていたとされており、Storm-2460（別名：PipeMagic使用者）によるfileless型の攻撃も確認されています。

Symantecが追跡したBalloonflyのケースはファイルベースの手法であり、複数のアクターが同一脆弱性を異なる手口で並行して悪用していた可能性が示唆されます。

ゼロデイ×ランサムウェアのリスク拡大

通常、ゼロデイ脆弱性は国家支援型APTによる標的型攻撃に使用されることが多く、ランサムウェアアクターがゼロデイを用いるケースは稀とされています。しかし、今回の事例や2024年のBlack BastaによるCVE-2024-26169のゼロデイ悪用疑惑を鑑みるに、攻撃者側の技術的成熟とゼロデイの入手ルートの広がりが読み取れます。

推奨対応

• 2025年4月8日公開のMicrosoftパッチ（CVE-2025-29824）を即時適用

• 「C:\ProgramData\SkyPDF」や「C:\ProgramData\Events」フォルダ内の不審ファイルの確認

• 新規作成された管理者アカウントの有無を調査（例：「LocalSvc」）

• バッチファイルやDLLの残留確認、Autoruns等を活用した自動起動設定の調査

主な検出ファイル（IoC）