С апреля 2024 года злоумышленник, которого Microsoft Threat Intelligence отслеживает как Marbled Dust, эксплуатирует учетные записи пользователей, которые не применили исправления уязвимости нулевого дня (CVE-2025-27920) в приложении для обмена сообщениями Output Messenger, мультиплатформенном чате. Эти эксплойты привели к сбору соответствующих пользовательских данных у целей в Ираке.
Описание
Специалисты Microsoft Threat Intelligence с умеренной уверенностью считают, что Marbled Dust проводит разведку, чтобы определить, являются ли ее цели пользователями Output Messenger, и выбирает этот вектор атаки, основываясь на этих данных. Успешная эксплуатация позволяет доставлять множество вредоносных файлов и выкачивать данные из целей.
Обнаружив уязвимость нулевого дня в Output Messenger (CVE-2025-27920), Microsoft уведомила о ней компанию Srimax, разработчика приложения для обмена сообщениями, которая выпустила обновление программного обеспечения. Microsoft также обнаружила вторую уязвимость в Output Messenger (CVE-2025-27921), для которой Srimax также выпустила патч; однако Microsoft не наблюдала эксплуатации этой второй уязвимости.
Кто такой Marbled Dust?
По оценке Microsoft Threat Intelligence, Marbled Dust действует как связанный с Турцией шпионская группа. Marbled Dust нацелен на организации в Европе и на Ближнем Востоке, в частности на правительственные учреждения и организации, которые, вероятно, представляют интересы, противоположные интересам турецкого правительства, а также на объекты в секторах телекоммуникаций и информационных технологий. Marbled Dust пересекается с активностью, отслеживаемой другими поставщиками систем безопасности, такими как Sea Turtle и UNC1326.
В ходе предыдущих кампаний Marbled Dust была замечена в сканировании целевой инфраструктуры на предмет известных уязвимостей в устройствах и приложениях, выходящих в Интернет, и использовании этих уязвимостей в качестве средства получения первоначального доступа к поставщикам целевой инфраструктуры. Кроме того, они использовали доступ к взломанным DNS-регистраторам и/или регистраторам для сброса конфигурации DNS-серверов правительственных организаций в разных странах, чтобы перехватывать трафик, что позволяло им регистрировать и повторно использовать украденные учетные данные.
Эта новая атака свидетельствует о заметном изменении возможностей Marbled Dust при сохранении последовательности в их общем подходе. Успешное использование эксплойта «нулевого дня» говорит о повышении технической сложности, а также может свидетельствовать о том, что приоритеты Marbled Dust при выборе целей расширились или их оперативные задачи стали более срочными.
Уязвимость нулевого дня в Output Messenger Server Manager
Исследователи безопасности Microsoft обнаружили уязвимость нулевого дня, которую использовала Marbled Dust. Уязвимость, связанная с обходом каталога (CVE-2025-27920) в приложении Output Messenger Server Manager, может позволить аутентифицированному пользователю загрузить вредоносные файлы в стартовый каталог сервера. Marbled Dust использовал эту уязвимость для сохранения вредоносного файла OMServerService.vbs в папку запуска.
Приложение Output Messenger Server Manager предоставляет владельцу сервера возможность подключить дисковое пространство, которое позволяет пользователям загружать и скачивать файлы с сервера. После включения этой опции любой пользователь может загружать файлы на сервер. По умолчанию эти файлы хранятся по адресу C:\Program Files\Output Messenger Server\OfflineMessages\Temp\1\File. После аутентификации пользователь может загрузить файл, заменив значение «name» в запросе строкой обхода каталога, например, name=«.../.../.../.../.../.../.../.../.../ProgramData/Microsoft/Windows/Start Menu/Programs/StartUp/OMServerService.vbs».
В архитектуре Output Messenger клиент и сервер взаимодействуют между собой, обеспечивая обмен сообщениями, файлами и другими функциями совместной работы. При запуске клиент подключается к серверу и отправляет на него учетные данные пользователя для проверки, после чего сервер проверяет подлинность пользователя. Сообщения, отправленные клиентом, пересылаются на сервер, который выступает в роли ретранслятора. Когда файл передается через клиент, он может быть либо непосредственно передан другому пользователю, либо сохранен на сервере для последующего извлечения.
Получив доступ к серверу Output Messenger, злоумышленники могут использовать архитектуру системы Output Messenger для получения беспорядочного доступа к коммуникациям каждого пользователя, кражи конфиденциальных данных и выдачи себя за пользователей, что может привести к сбоям в работе, несанкционированному доступу к внутренним системам и широкомасштабной компрометации учетных данных.
Цепочка атак
Цепочка атак начинается с того, что Marbled Dust получает доступ к приложению Output Messenger Server Manager в качестве аутентифицированного пользователя. Хотя в настоящее не известно, как Marbled Dust получал аутентификацию в каждом случае, аналитики Microsoft предполагают, что злоумышленник использовал перехват DNS или домены для перехвата, регистрации и повторного использования учетных данных, поскольку эти методы использовались Marbled Dust в ранее замеченной вредоносной деятельности.
Marbled Dust использует эту точку опоры на одной жертве, чтобы собрать учетные данные пользователя Output Messenger и использовать уязвимость CVE-2025-27920, атаку с обходом каталога в приложении Output Messenger Server Manager, которая позволяет аутентифицированному пользователю сбросить вредоносные файлы в стартовый каталог сервера. Marbled Dust сбрасывает вредоносные файлы OM.vbs и OMServerService.vbs в папку запуска сервера Output Messenger и вредоносный файл OMServerService.exe в каталог Users/public/videos сервера.
Затем Marbled Dust использует OMServerService.vbs для вызова файла OM.vbs, который передается OMServerService.exe в качестве аргумента. На момент составления отчета файл OM.vbs был недоступен для анализа. OMServerService.exe, с другой стороны, представляет собой GoLang-бэкдор, маскирующийся под одноименный легитимный файл. GoLang особенно эффективен в этом случае, поскольку не чувствителен к версиям ОС. В некоторых случаях наблюдается подключение OMServerService.exe к жестко закодированному домену api.wordinfos[.]com для утечки данных.
На стороне клиента программа установки извлекает и выполняет как легитимный файл OutputMessenger.exe, так и OMClientService.exe, еще один GoLang-бэкдор, который подключается к командно-контрольному домену (C2) Marbled Dust. Сначала этот бэкдор выполняет проверку подключения через GET-запрос к C2-домену api.wordinfos[.]com. В случае успеха на тот же C2 отправляется второй GET-запрос, содержащий информацию об имени хоста для уникальной идентификации жертвы. Ответ от C2 затем напрямую выполняется с помощью команды «cmd /c», которая дает указание командной строке Windows выполнить определенную команду и затем завершить работу.
По крайней мере в одном случае на устройстве жертвы с клиентским ПО Output Messenger было замечено подключение к IP-адресу, приписанному Marbled Dust, вероятно, для утечки данных, поскольку эти подключения совпадали с выдачей злоумышленником команд на сбор файлов с различными расширениями в RAR-файл на рабочем столе. Подключение к IP-адресу, приписанному Marbled Dust, часто выполняется с помощью plink - версии SSH-клиента PuTTY для Windows, работающей в режиме командной строки.
Индикаторы компрометации
Domains
- api.wordinfos.com
URLs
- https://api.wordinfos.com
SHA256
- 1df959e4d2f48c4066fddcb5b3fd00b0b25ae44f350f5f35a86571abb2852e39
- 2b7b65d6f8815dbe18cabaa20c01be655d8475fc429388a4541eff193596ae63