突发！APT组织利用零日漏洞，竟对伊拉克库尔德武装展开 隐秘监视！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

网络空间看似风平浪静，实则暗流涌动。近期，一则惊人消息传来：一个与土耳其相关的APT组织，正利用Output Messenger软件的零日漏洞，对伊拉克的库尔德军事目标进行全方位窥探！

从2024年4月起，威胁行为者“云石尘”（Marbled Dust，又名Sea Turtle、Teal Kurma等 ）就悄然盯上了伊拉克与库尔德军事有关的用户。他们利用Output Messenger存在的零日漏洞（CVE-2025-27920 ），大肆收集用户数据，还悄悄部署恶意文件，就像一群潜伏在暗处的“幽灵特工”，无声无息地窃取着关键信息。据微软研究人员分析，这个组织可是经过精心侦察后，才选中了这个攻击方法，手段十分老辣！

“云石尘”这个组织，早在2017年就开始在网络世界兴风作浪，主要瞄准欧洲和中东地区的各类组织下手。在2017年到2019年间，他们惯用DNS劫持的手段发动攻击。而他们的攻击目标更是广泛，政府机构、像库尔德工人党（PKK）这样的库尔德政治团体、电信企业、互联网服务提供商、IT服务供应商（甚至包括安全公司 ）、非政府组织以及媒体娱乐行业，都在他们的“狩猎名单”上。

这次被利用的CVE-2025-27920漏洞，是个目录遍历漏洞。简单来说，攻击者能借此突破原本的目录限制，随意访问文件，一不小心就可能导致数据大规模泄露。只要Output Messenger软件版本在2.0.63之前，就会被这个漏洞“拖下水”。“云石尘”更是狡猾，利用这个漏洞在启动文件夹里悄悄埋下恶意脚本。借助服务器的文件共享功能，他们上传文件，再偷偷操纵文件路径，让任意代码都能在系统里运行起来。一旦成功潜入，用户之间的所有通信内容都被他们尽收眼底，数据被盗取、用户身份被冒用、登录凭证也被窃取，整个系统面临着前所未有的危机！

据微软发布的报告指出：“一旦‘云石尘’成功侵入Output Messenger服务器，他们就能利用其系统架构，肆无忌惮地查看每个用户的通信信息，偷走敏感数据，还能伪装成用户。这不仅会让正常业务陷入混乱，还可能导致内部系统被非法闯入，大量登录凭证被泄露。”

更让人细思极恐的是，“云石尘”很可能先是通过DNS劫持或者网址仿冒的手段，偷走了用户的登录凭证。一旦成功登录系统，他们就把恶意文件上传到服务器的启动目录里，部署像OMServerService.exe这种基于Go语言编写的后门程序。这些后门程序会把数据偷偷发送到api.wordinfos[.]com这个地址。而且，攻击者还在客户端系统里布置了第二个后门，用来收集主机信息，接收来自控制服务器（C2）的指令。他们甚至还通过plink SSH（Windows版PuTTY SSH客户端的命令行版本 ）进行文件盗窃和RAR文件外发。

这次攻击事件，标志着“云石尘”组织的攻击能力有了显著提升。以往的攻击手段加上这次成功利用零日漏洞，足以看出他们的技术变得更加复杂、危险。这或许意味着他们的攻击目标优先级在不断提高，或者他们有着更为紧迫的行动目的。网络安全形势愈发严峻，每个组织和个人都得提高警惕，加强防护，别让这些网络“黑手”有机可乘！快转发给身边的人，一起重视网络安全！ 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：突发！APT组织利用零日漏洞，竟对伊拉克库尔德武装展开 “隐秘监视”！