Türkiye destekli bir siberlik grubu, Irak’taki Kürt ordusuna bağlı çıktı messenger kullanıcılarına saldırmak için sıfır günlük bir kırılganlıktan yararlandı.
Bu saldırıları tespit eden Microsoft Tehdit İstihbarat Analistleri, LAN Mesajlaşma uygulamasında güvenlik kusurunu (CVE-2025-27920) keşfetti, kimlik doğrulamalı saldırganların amaçlanan dizin dışında hassas dosyalara erişmesine veya sunucu başlangıç klasörüne kötü niyetli yükler dağıtmasına izin verebilecek bir dizin geçiş güvenlik açığı.
Uygulamanın geliştiricisi Srimax, “Saldırganlar, yapılandırma dosyaları, hassas kullanıcı verileri veya hatta kaynak kodu gibi dosyalara erişebilir ve dosya içeriğine bağlı olarak bu, uzaktan kod yürütülmesi de dahil olmak üzere daha fazla sömürüye yol açabilir.”
Microsoft Pazartesi günü, hackleme grubunun (Sea Turtle, Silikon ve UNC1326 olarak da izlendiğini), Output Messenger Server Manager uygulamasına eriştikten sonra sistemlerini kötü amaçlı yazılımlarla enfekte etmek için güncellemeyen kullanıcıları hedeflediğini açıkladı.
Sunucuyu uzlaştırdıktan sonra, mermer toz korsanları hassas verileri çalabilir, tüm kullanıcı iletişimlerine erişebilir, kullanıcıları taklit edebilir, dahili sistemlere erişebilir ve operasyonel aksamalara neden olabilir.
Microsoft, “Şu anda mermer tozun her durumda nasıl kimlik doğrulama kazandığına dair görünürlüğe sahip olmamıza rağmen, tehdit aktörünün daha önce gözlemlenen kötü niyetli etkinliklerde mermer toz tarafından kaldırılan teknikler olduğu için DNS kaçırma veya yazım hattı alanlarından yararlandığını değerlendiriyoruz.” Dedi.
Ardından, saldırganlar bir arka kapı kullandı (Omserverservice.exe) Saldırgan kontrollü bir komut ve kontrol alanına karşı bağlantıyı kontrol eden kurbanların cihazlarına (api.wordinfos[.]com) ve daha sonra tehdit aktörlerine her kurbanı tanımlamak için ek bilgi verdi.
Bir örnekte, saldırgan, kötü amaçlı yazılımlara dosya toplaması ve rar arşivi olarak arşivleme talimatı verdikten kısa bir süre sonra, mermer toz tehdidi grubuna bağlı bir IP adresine bağlı bir kurbanın cihazındaki çıktı messenger istemcisi.
Mermer tozu, telekomünikasyon ve BT şirketlerinin yanı sıra Türk hükümetine karşı çıkan devlet kurum ve kuruluşlarına odaklanan Avrupa ve Orta Doğu’yu hedeflemekle bilinir.
Altyapı sağlayıcılarının ağlarını ihlal etmek için internete bakan cihazlardaki güvenlik açıklarını tararlar. Ayrıca, hükümet kuruluşlarının DNS sunucu yapılandırmalarını değiştirmek için tehlikeye atılan DNS kayıtlarına erişimlerinden yararlanırlar, bu da ortadaki adam saldırılarında trafiği engellemelerine ve kimlik bilgilerini çalmalarına olanak tanır.
Microsoft, “Bu yeni saldırı, genel yaklaşımlarında tutarlılığı korurken mermer Dust’ın kapasitesinde önemli bir değişime işaret ediyor.” Diyerek şöyle devam etti: “Sıfır günlük bir istismarın başarılı bir şekilde kullanılması, teknik karmaşıklıkta bir artış olduğunu gösteriyor ve ayrıca mermer Dust’ın hedefleme önceliklerinin arttığını veya operasyonel hedeflerinin daha acil hale geldiğini gösterebilir.”
Geçen yıl, Mermer Dust, 2021 ve 2023 yılları arasında, özellikle telekomünikasyon şirketlerini, İnternet Servis Sağlayıcıları (ISS) ve Kürt web sitelerini hedefleyen Hollanda’daki organizasyonları hedefleyen çoklu casusluk kampanyalarına da bağlandı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.