突发！土耳其关联APT组织利用零日漏洞，监控伊拉克库尔德武装！

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

中东地区的网络战场再次掀起波澜！微软最新披露，一个与土耳其关联的高级持续性威胁（APT）组织“云石尘”（Marbled Dust，又名海龟、青龟等），自2024年4月起利用Output Messenger软件的零日漏洞（CVE-2025-27920），对伊拉克境内与库尔德武装相关的目标展开长期监控，窃取用户数据并部署恶意程序，其背后的地缘政治博弈与技术攻击细节令人警惕。

一、长达一年的“隐秘监控”：从漏洞利用到数据虹吸  

“云石尘”组织的攻击始于2024年4月，目标直指伊拉克库尔德军事组织及相关用户。他们利用Output Messenger的目录遍历漏洞（CVE-2025-27920），突破软件设计限制，非法访问系统文件并植入恶意脚本。具体攻击路径如下：  

1. 漏洞利用：通过DNS劫持或网址仿冒（Typo-squatting）窃取用户凭证，利用Output Messenger服务器的文件共享功能，将恶意脚本植入启动文件夹；  

2. 权限突破：借助服务器架构漏洞执行任意代码，获取所有用户通信内容、窃取敏感数据，并伪装成合法用户渗透内部系统；  

3. 长期驻留：部署基于Go语言的后门程序（如OMServerService.exe），通过api.wordinfos[.]com域名持续外发数据，同时利用plink SSH工具窃取文件并压缩传输。  

微软报告指出，一旦攻击者控制Output Messenger服务器，可无差别访问所有用户通信，导致“操作中断、系统非法入侵和大规模凭证泄露”，对军事行动的保密性构成致命威胁。

二、“云石尘”APT：横跨欧亚的“老牌间谍”  

该组织至少自2017年起活跃，主要针对欧洲与中东地区，攻击目标涵盖政府机构、库尔德政治团体（如PKK）、电信公司、互联网服务提供商甚至安全企业。其技术特点包括：  

- 攻击手法迭代：2017-2019年以DNS劫持为主，近年转向零日漏洞与供应链攻击，规避检测能力显著提升；  

- 目标高度政治化：聚焦地缘冲突敏感区域，此次针对库尔德武装的行动，可能与土耳其政府的跨境军事策略相关；  

- 工具模块化：结合Go语言后门与SSH工具，实现“侦察-植入-窃密”全流程自动化，攻击效率大幅提高。

三、零日漏洞的“蝴蝶效应”：从软件缺陷到战略危机  

此次曝光的CVE-2025-27920漏洞影响Output Messenger 2.0.63版本前的所有用户，而该软件在中东地区政府与企业中广泛使用。攻击者利用其文件共享功能缺陷，通过构造特殊文件路径绕过安全限制，本质是对“信任边界”的系统性突破。  

更值得警惕的是，“云石尘”在攻击中结合了社会工程学与技术漏洞：先通过钓鱼或域名欺骗获取合法凭证，再以“合法用户”身份利用漏洞渗透，形成“信任链断裂-权限提升-数据窃取”的完整攻击闭环。这种“合法身份+非法操作”的模式，使得传统安全防护体系难以第一时间识别威胁。

四、地缘政治视角：网络攻击作为“低烈度战争”工具  

此次事件折射出中东地区复杂的地缘博弈：  

- 土耳其的战略目标：库尔德武装（PKK）被土耳其视为“恐怖组织”，网络监控可能为跨境军事行动提供情报支撑；  

- 技术武器的扩散：零日漏洞的非法利用，凸显全球供应链安全的脆弱性，即便非国家行为体也可能通过地下市场获取高级攻击工具；  

- 防御体系的漏洞：依赖单一通信工具的机构，一旦软件出现安全缺陷，可能导致“牵一发而动全身”的连锁危机。  

五、防御指南：如何封堵“零日漏洞”缺口？  

针对此类攻击，企业与机构可采取以下措施：  

1. 紧急漏洞修复：立即将Output Messenger升级至2.0.63及以上版本，关闭非必要的文件共享功能；  

2. 通信监控强化：对涉及敏感区域的网络流量进行深度包检测（DPI），阻断与api.wordinfos[.]com等可疑域名的连接；  

3. 凭证安全策略：强制启用多因素认证（MFA），定期审计用户权限，避免单一凭证泄露引发全局风险；  

4. 威胁情报共享：加入区域性网络安全联盟（如中东CERT联盟），及时获取APT组织的最新活动轨迹。  

六、结语：网络空间的“非对称战争”  

“云石尘”的攻击再次证明，零日漏洞与地缘政治的结合，正在使网络空间成为“没有硝烟的战场”。对于身处冲突敏感区域的机构而言，仅靠技术补丁已不足以应对威胁，必须构建“技术防御+情报预警+政治博弈”的多维防护体系。  

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：突发！土耳其关联APT组织利用零日漏洞，监控伊拉克库尔德武装！