СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.05.2025
#Dev#ИБ#Инфра

Шпионская угроза: Хакер Marbled Dust атакует с уязвимостью Output Messenger

Шпионская угроза: Хакер Marbled Dust атакует с уязвимостью Output Messenger

В последние месяцы в мире кибербезопасности произошло важное открытие. Microsoft Threat Intelligence обнаружила хакерскую группу, известную как Marbled Dust, которая, как предполагается, имеет связи с Турцией и занимается шпионской деятельностью. Группа использует уязвимость нулевого дня в популярном многоплатформенном приложении для чата Output Messenger, начиная с апреля 2024 года.

Методы атаки и цели

Основные цели Marbled Dust включают:

  • Курдские вооруженные силы в Ираке;
  • Правительственные организации в Европе и на Ближнем Востоке, считающиеся противниками Турции.

Группа осуществляет тщательную разведку, чтобы определить, используют ли их цели Output Messenger, прежде чем запустить свои атаки. После получения доступа к серверу чата злоумышленники применяют различные вредоносные файлы, чтобы осуществлять утечку данных и потенциально нарушать работу серверов.

Использование уязвимости и вредоносных программ

Применяющаяся уязвимость (CVE-2025-27920) позволяет прошедшим проверку подлинности пользователям выполнять атаки с обходом каталогов, загружая вредоносные файлы на сервер. Среди используемых вредоносных программ — OM.vbs и OMServerService.vbs. Также хакеры используют бэкдор OMServerService.exe, написанный на GoLang, что обеспечивает большую совместимость между разными операционными системами.

Эксплуатация уязвимостей и эксфильтрация данных

Бэкдоры устанавливают соединения с доменами управления (C2), что позволяет хакерам фильтровать данные. Первоначальное соединение проверяет доступ к C2 и отправляет информацию о конкретной жертве, позволяя злоумышленникам выполнять команды удаленно. Особый интерес представляют методы эксфильтрации данных, среди которых выделяется создание RAR-файлов собранных данных на рабочем столе жертвы, что подчеркивает эксплуатационные возможности группы.

Реакция Microsoft и рекомендации

В ответ на выявленные угрозы Microsoft проинформировала разработчиков Output Messenger, что привело к выпуску исправлений для существующей уязвимости, а также для новой, которая еще не была использована (CVE-2025-27921). В связи с этим пользователям настоятельно рекомендуется обновить свое программное обеспечение, чтобы снизить риски, связанные с указанными уязвимостями.

Повышенная изощренность атак, применяемых Marbled Dust, указывает на рост их оперативных целей, что подчеркивает важность бдительности в сфере кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: