Турецькі хакери використали вразливість нульового дня в месенджері, щоб атакувати курдські сервери

Компанія Microsoft повідомила про виявлення масштабної кібершпигунської кампанії, проведеної пов’язаним з Туреччиною угрупованням хакерів Marbled Dust. Ці зловмисники використовували вразливість нульового дня в месенджері Output Messenger для встановлення шкідливих бекдорів на сервери, які мають зв’язок з курдськими військовими формуваннями в Іраку.

Атака, яка розпочалася у квітні 2024 року, була спрямована на користувачів Output Messenger, популярного серед підприємств. Хакери спочатку проводили розвідку, визначаючи, чи використовує цільова система вказаний месенджер, після чого експлуатували вразливість CVE-2025-27920. Ця вразливість дозволяла віддалено виконувати команди через directory traversal. Внаслідок цього, на сервери були встановлені шкідливі скрипти та бекдори, написані на мові Golang, які підключались до командних серверів (C2) для крадіжки даних.

1. Злочинці також вдалися до DNS-підміни та використання підроблених доменних імен для викрадення облікових даних. Бекдор під назвою “OMServerService.exe” передавав системну інформацію на підконтрольні сервери та, у відповідь, отримував і виконував команди через cmd /c. На клієнтських машинах, крім легальних компонентів месенджера, було встановлено додатковий бекдор “OMClientService.exe”.
2. Угруповання Marbled Dust, яке активно діє з 2017 року, має кілька псевдонімів, серед яких Silicon, Sea Turtle, Cosmic Wolf та інші. Вони відомі атаками на телекомунікаційні компанії, ЗМІ, ІТ-сервіси та вебсайти курдської діаспори в Європі. Перші масштабні атаки були зафіксовані Cisco Talos у 2019 році. Вразливість, яка була використана у цій атаці, була виправлена розробниками месенджера у грудні 2024 року, проте інформація про активне її використання не розголошувалась у офіційних звітах.

Цей випадок демонструє підвищення технічної майстерності Marbled Dust, зокрема їхню здатність використовувати вразливості нульового дня для цілеспрямованих атак. Це також підтверджує посилення геополітичного кібершпигунства з боку Туреччини, спрямованого проти курдських структур за кордоном.

Компаніям, що використовують Output Messenger, настійно рекомендується негайно оновити програму до версії 2.0.63 та перевірити свої системи на ознаки компрометації.