Кибершпионска група, известна с прозвището Marbled Dust, е използвала zero-day уязвимост в Output Messenger, за да атакува потребители, свързани с кюрдските военни структури в Ирак, съобщават анализатори от Microsoft Threat Intelligence.
Групата, която е свързвана с Турция и се проследява още под кодовите имена Sea Turtle, SILICON и UNC1326, е използвала директория traversal уязвимост (CVE-2025-27920), позволяваща на автентикирани нападатели да достъпват чувствителни файлове извън позволената директория или да разполагат зловреден код в папката за автоматично стартиране на сървъра.
Вектор на атака и уязвимост
Уязвимостта бе отстранена от разработчика Srimax през декември 2024 г. с издаването на Output Messenger версия 2.0.63. От компанията обясняват, че пропускът е можел да бъде използван за:
-
достъп до конфигурационни файлове и чувствителни потребителски данни;
-
кражба на сорс код;
-
отдалечено изпълнение на код (RCE) в зависимост от съдържанието на достъпваните файлове.
Разгръщане на зловреден софтуер
След компрометиране на Output Messenger Server Manager, Marbled Dust са внедрили троянски бекдор с име OMServerService.exe. Той е осъществявал връзка с контролирано от атакуващите домейн име (api.wordinfos[.]com), откъдето е получавал инструкции и е предавал информация за жертвите.
Според Microsoft, в поне един случай клиентът на Output Messenger е установил директна връзка с IP адрес, свързан с групата, само минути след като е била активирана функцията за събиране и архивиране на файлове в RAR формат – явен индикатор за ексфилтрация на данни.
Методи за достъп и компрометиране
Въпреки че не е напълно ясно как Marbled Dust е постигнал автентикация във всяка отделна атака, Microsoft предполага, че е използвано:
-
DNS отвличане (DNS hijacking);
-
злоупотреба с домейни с правописни грешки (typo-squatting);
Тези техники са били наблюдавани и в предходни кампании на групата, като чрез тях се логват и преизползват идентификационни данни на жертвите.
По-широк контекст и геополитическа насоченост
Marbled Dust има дългогодишна история на шпионски кампании, насочени срещу правителствени институции, телекомуникационни компании и ИТ доставчици на Балканите и Близкия изток, особено организации, противопоставящи се на турското правителство.
Методите им включват:
-
сканиране за уязвимости в публично достъпни устройства;
-
манипулиране на DNS записи в държавни регистри, чрез което могат да извършват атаки от тип „човек по средата“ (MITM) и да крадат пароли и данни за достъп.
Повишаване на капацитета и амбициите
„Използването на zero-day уязвимост показва ескалация в техническата подготовка на Marbled Dust, както и възможна промяна в техните приоритети или спешността на техните оперативни цели“, подчертават от Microsoft.
Групата е активна и в други региони – например в Нидерландия, където между 2021 и 2023 г. е била замесена в шпионски операции срещу доставчици на интернет услуги и кюрдски уебсайтове.
Изводи
Настоящата кампания подчертава опасността от използването на остарял софтуер, особено в среди със засилена геополитическа чувствителност. Атаката на Marbled Dust демонстрира как една zero-day уязвимост може да бъде превърната в мощен инструмент за кибершпионаж, когато се комбинира с добре координирани техники за достъп и експилтрация.
Препоръка: Организации, използващи Output Messenger или други LAN приложения, трябва незабавно да проверят дали използват последната налична версия и да анализират мрежовия трафик за необичайни DNS заявки или връзки към подозрителни домейни.
