Kimsenin halka açık bir şekilde konuşmadığı bir kurumsal araçta sıfır günlük bir kusur ortaya çıktığında, bunu niş olarak yazmak cazip olur. Ancak mermer Dust’ın son kampanyası, çıktı messenger’daki CVE-2025-27920’den yararlanıyor.
Microsoft Tehdit İstihbaratı, bir dizi hedeflenen siber saldırıyı, Türkiye’ye bağlı bir tehdit aktörü olan mermer toza bağladı ve daha önce bilinmeyen bir güvenlik açığı olan-kendi kendine barındırılan bir kurumsal sohbet uygulaması. Nisan 2024’ten bu yana devam eden kampanya, Irak’taki Kürt askeri bağlantılı kullanıcıları hedef aldı ve bölgesel olarak motive olmuş siber ihale nasıl geliştiğinde artan bir değişimi yansıtıyor.
Çıktı Messenger: Önemli olmayı beklemediğiniz araç
Çıktı Messenger WhatsApp veya Slack değil. Şirket içi iletişim arayan kuruluşlar tarafından sıklıkla kullanılan düşük profilli, çok platformlu bir sohbet aracıdır. Bu onu mükemmel bir kör nokta haline getirir – yaygın olarak incelenmez, ancak iç ağlarda yaygın olarak güvenilir. Mermer tozu fırsatı gördü ve atladı.
Saldırganlar, başlangıç klasörüne kötü niyetli komut dosyaları dikmek için Çıktı Messenger Server Manager’da bir dizin geçiş kusuru olan CVE-2025-27920 kullandı. Oradan, pesfiltrasyon alanları ve C2 altyapısı ile gizli bir çok aşamalı arka kapı dağıtımını gerçekleştirdiler. api.wordinfos[.]com.
Microsoft, zamanında yamalar (v2.0.62+) yayınlamak için çıktı Messenger’ın satıcısı Srimax’ı kredilendiriyor, ancak birçok kuruluş hala açılmadı. Mermer tozun erişimini burada buluyor.
Mermer toz saldırı zincirinin içinde
Kampanya, E birikecisi Sunucu Yöneticisi’ne doğru erişim sağlayan mermer tozla başlıyor. Microsoft, bu kimlik bilgilerinin başlangıçta nasıl hasat edildiğinden tam olarak emin değil, ancak DNS’nin kaçırma ve yazım hatalı giriş portallarından şüpheleniyor-grubun daha önce kullandığı tacikler.
Bir kez, tehdit oyuncusu Windows başlangıç klasörüne kötü amaçlı bir VBS dosyası yükleyerek dizin geçiş hatasını kullanır. Bu senaryo başlattı OMServerService.exemeşru bir hizmet dosyası olarak gizlenmiş bir Golang arka kapı. Golang bir bonus sunuyor: platform agnostisizm ve daha az imza tabanlı tespit.
Arka kapı mermer Dust’ın C2 alanına bağlanır, bağlantıyı kontrol eder, ana bilgisayar verilerini gönderir ve ardından saldırganın geri gönderdiğine göre daha fazla komut yürütür. Bir durumda, bir kurbanın cihazı, Putty’nin komut satırı istemcisi kullanılarak bir RAR arşivinde paketlenmiş hassas dosyaları yüklediğinde görüldü, plink.exeVeri Sunum Aracı olarak.
İstemci tarafında, enfekte çıktı Messenger yükleyicileri indiren kullanıcılar beklediklerinden daha fazlasını aldılar. Yükleyici, yasal outputMessenger.exe’yi ikincil bir yükle bir araya getirdi –OMClientService.exeaynı C2 uç noktasını ping atan başka bir Golang arka kapı.
Kırtıllı toz kim?
Microsoft, tozlu tozları geçmiş DNS kaçırma ve kimlik bilgisi hasat kampanyalarına bağlar. Grup, Deniz Kaplumbağası (APT) ve UNC1326 olarak bilinen faaliyetlerle örtüşmekte ve ANKARA’lara olumsuz çıkarları olan organizasyonları hedefleyen gözlemlenmiştir. Odak alanları arasında telekom ve devlet sektörlerine son zamanlarda vurgu yaparak Orta Doğu ve Avrupa yer alıyor.
Bu kampanya bir vardiya işaret ediyor. Daha önce mermer toz aktivitesi bilinen güvenlik açıklarına dayanırken, gerçek bir sıfır günün kullanılması, ya artan iç yeteneklerin veya operasyonel hedeflerinde artan aciliyet olduğunu düşündürmektedir.
Çıktı Messenger’dan neden önemlidir?
Bu, saçak kurumsal araçların nasıl yüksek değerli hedefler haline gelebileceğine dair bir dersdir. Çoğu güvenlik ekibi olağan şüphelileri (ofis makroları, web proxy’leri, VPN’ler) yamalamakla meşgul olsa da, output messenger gibi araçlar arka planda sessizce uğultu – mermer toz gibi biri ilgi çekene kadar.
Ve açık olalım: Bu bir emtia tehdidi değil. Dikkatle seçilmiş hedefler ve minimum gürültü ile bölgesel casusluk. Kampanyanın tamamı hassasiyetle faaliyet gösterdi, kimlik bilgisi hırsızlığı, iç gözetim ve sessiz erişim üzerine odaklandı – fidye yazılımı veya kitle kesintisi.
Şimdi ne yapmalısın
Microsoft, çıktı Messenger’ın 2.0.62 (sunucu) ve 2.0.63 (istemci) sürümlerine hemen yamalanmasını istemektedir. Bu uygulamayı kullanan kuruluşlar:
- İstismar belirtileri için tüm mevcut kurulumları denetleyin (başlangıç dizinlerinde olağandışı VB’ler ve exe dosyalarını arayın)
- Giden bağlantıları izleyin
api.wordinfos[.]com - Plink.exe veya giden SSH oturumlarının yetkisiz kullanımını kontrol edin
- Şüpheli C2 altyapısı ile iletişim kuran herhangi bir sistemi izole
Mermer Dust’ın kampanyası sıçrayan manşetlerle ilgili değil. Sessiz, odaklanmış ve belirsiz kurumsal yazılımı kullanan kuruluşlara sertleşmeden bir uyarı.
Sıfır günler artık tarayıcılar ve VPN’lerde yaşamıyor. Dahili sohbet uygulamalarınızda, bilet sistemlerinizde, izlemeyi unuttuğunuz yazılımınızda yaşarlar. Ve saldırganlar? Hepsini izliyorlar.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.