Кибершпионска група, известна с прозвището Marbled Dust, е използвала zero-day уязвимост в Output Messenger, за да атакува потребители, свързани с кюрдските военни структури в Ирак, съобщават анализатори от Microsoft Threat Intelligence.

Групата, която е свързвана с Турция и се проследява още под кодовите имена Sea Turtle, SILICON и UNC1326, е използвала директория traversal уязвимост (CVE-2025-27920), позволяваща на автентикирани нападатели да достъпват чувствителни файлове извън позволената директория или да разполагат зловреден код в папката за автоматично стартиране на сървъра.

Вектор на атака и уязвимост

Уязвимостта бе отстранена от разработчика Srimax през декември 2024 г. с издаването на Output Messenger версия 2.0.63. От компанията обясняват, че пропускът е можел да бъде използван за:

• достъп до конфигурационни файлове и чувствителни потребителски данни;

• кражба на сорс код;

• отдалечено изпълнение на код (RCE) в зависимост от съдържанието на достъпваните файлове.

Разгръщане на зловреден софтуер

След компрометиране на Output Messenger Server Manager, Marbled Dust са внедрили троянски бекдор с име OMServerService.exe. Той е осъществявал връзка с контролирано от атакуващите домейн име (api.wordinfos[.]com), откъдето е получавал инструкции и е предавал информация за жертвите.

Според Microsoft, в поне един случай клиентът на Output Messenger е установил директна връзка с IP адрес, свързан с групата, само минути след като е била активирана функцията за събиране и архивиране на файлове в RAR формат – явен индикатор за ексфилтрация на данни.

Методи за достъп и компрометиране

Въпреки че не е напълно ясно как Marbled Dust е постигнал автентикация във всяка отделна атака, Microsoft предполага, че е използвано:

• DNS отвличане (DNS hijacking);

• злоупотреба с домейни с правописни грешки (typo-squatting);

Тези техники са били наблюдавани и в предходни кампании на групата, като чрез тях се логват и преизползват идентификационни данни на жертвите.

По-широк контекст и геополитическа насоченост

Marbled Dust има дългогодишна история на шпионски кампании, насочени срещу правителствени институции, телекомуникационни компании и ИТ доставчици на Балканите и Близкия изток, особено организации, противопоставящи се на турското правителство.

Методите им включват:

• сканиране за уязвимости в публично достъпни устройства;

• манипулиране на DNS записи в държавни регистри, чрез което могат да извършват атаки от тип „човек по средата“ (MITM) и да крадат пароли и данни за достъп.

Повишаване на капацитета и амбициите

„Използването на zero-day уязвимост показва ескалация в техническата подготовка на Marbled Dust, както и възможна промяна в техните приоритети или спешността на техните оперативни цели“, подчертават от Microsoft.

Групата е активна и в други региони – например в Нидерландия, където между 2021 и 2023 г. е била замесена в шпионски операции срещу доставчици на интернет услуги и кюрдски уебсайтове.

Изводи

Настоящата кампания подчертава опасността от използването на остарял софтуер, особено в среди със засилена геополитическа чувствителност. Атаката на Marbled Dust демонстрира как една zero-day уязвимост може да бъде превърната в мощен инструмент за кибершпионаж, когато се комбинира с добре координирани техники за достъп и експилтрация.

Препоръка: Организации, използващи Output Messenger или други LAN приложения, трябва незабавно да проверят дали използват последната налична версия и да анализират мрежовия трафик за необичайни DNS заявки или връзки към подозрителни домейни.