В последние месяцы в мире кибербезопасности произошло важное открытие. Microsoft Threat Intelligence обнаружила хакерскую группу, известную как Marbled Dust, которая, как предполагается, имеет связи с Турцией и занимается шпионской деятельностью. Группа использует уязвимость нулевого дня в популярном многоплатформенном приложении для чата Output Messenger, начиная с апреля 2024 года.
Методы атаки и цели
Основные цели Marbled Dust включают:
- Курдские вооруженные силы в Ираке;
- Правительственные организации в Европе и на Ближнем Востоке, считающиеся противниками Турции.
Группа осуществляет тщательную разведку, чтобы определить, используют ли их цели Output Messenger, прежде чем запустить свои атаки. После получения доступа к серверу чата злоумышленники применяют различные вредоносные файлы, чтобы осуществлять утечку данных и потенциально нарушать работу серверов.
Использование уязвимости и вредоносных программ
Применяющаяся уязвимость (CVE-2025-27920) позволяет прошедшим проверку подлинности пользователям выполнять атаки с обходом каталогов, загружая вредоносные файлы на сервер. Среди используемых вредоносных программ — OM.vbs и OMServerService.vbs. Также хакеры используют бэкдор OMServerService.exe, написанный на GoLang, что обеспечивает большую совместимость между разными операционными системами.
Эксплуатация уязвимостей и эксфильтрация данных
Бэкдоры устанавливают соединения с доменами управления (C2), что позволяет хакерам фильтровать данные. Первоначальное соединение проверяет доступ к C2 и отправляет информацию о конкретной жертве, позволяя злоумышленникам выполнять команды удаленно. Особый интерес представляют методы эксфильтрации данных, среди которых выделяется создание RAR-файлов собранных данных на рабочем столе жертвы, что подчеркивает эксплуатационные возможности группы.
Реакция Microsoft и рекомендации
В ответ на выявленные угрозы Microsoft проинформировала разработчиков Output Messenger, что привело к выпуску исправлений для существующей уязвимости, а также для новой, которая еще не была использована (CVE-2025-27921). В связи с этим пользователям настоятельно рекомендуется обновить свое программное обеспечение, чтобы снизить риски, связанные с указанными уязвимостями.
Повышенная изощренность атак, применяемых Marbled Dust, указывает на рост их оперативных целей, что подчеркивает важность бдительности в сфере кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Шпионская угроза: Хакер Marbled Dust атакует с уязвимостью Output Messenger".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.