自2024年4月起,威胁组织"大理石尘埃"(又名海龟、蓝鹤、硅元素、宇宙狼)利用Output Messenger软件的零日漏洞(CVE-2025-27920)针对伊拉克境内与库尔德军事组织有关的用户展开攻击,窃取用户数据并部署恶意文件。微软研究人员认为该组织基于前期侦察选择了这一攻击方式,已确认目标系统正在使用该应用。
这个至少自2017年就开始活跃的APT组织主要针对欧洲和中东机构。2017至2019年间,该组织主要采用DNS劫持技术实施攻击。其目标包括:
• 政府机构
• 库尔德政治组织(如PKK)
• 电信运营商
• 互联网服务提供商
• IT服务商(含安全公司)
• 非政府组织
• 媒体娱乐行业
多年来,该组织持续提升其攻击规避能力。
CVE-2025-27920漏洞属于目录遍历漏洞,允许攻击者越权访问系统文件,可能导致数据泄露,影响2.0.63版本之前的Output Messenger。攻击者利用该漏洞在启动文件夹植入恶意脚本,通过服务器文件共享功能上传文件并操纵文件路径执行任意代码。入侵成功后,攻击者可获取所有用户通信内容、窃取数据、冒充用户身份并盗取凭证,造成重大运营风险。
微软报告指出:"一旦攻陷Output Messenger服务器,攻击者就能利用系统架构无差别访问所有用户通讯,窃取敏感数据并实施身份伪装,可能导致业务中断、内部系统遭未授权访问及大规模凭证泄露。"
攻击者疑似先通过DNS劫持或域名仿冒窃取凭证,随后利用CVE-2025-27920漏洞进行攻击。在通过认证后,向服务器启动目录上传恶意文件,部署Go语言编写的后门程序(如OMServerService.exe)。这些工具通过api.wordinfos[.]网站外传数据。攻击者还在客户端部署第二款后门,用于收集主机信息并执行C2服务器指令。同时观察到攻击者使用plink(PuTTY命令行工具)通过SSH实施文件窃取和RAR压缩包外传。
报告总结称:"此次攻击标志着大理石尘埃组织在保持整体攻击模式的同时实现了能力跃升。零日漏洞的成功利用既表明其技术复杂度的提升,也暗示该组织的攻击优先级可能升级或作战目标更趋紧迫。"
原文始发于微信公众号(黑猫安全):APT组织利用Output Messenger零日漏洞攻击伊拉克境内库尔德军事组织
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论