Microsoft Tehdit İstihbaratı tarafından mermer toz olarak (Sea Turtle ve UNC1326 olarak da bilinir) izlenen Türkiye’ye bağlı bir casusluk tehdit oyuncusu, popüler bir çok platform sohbet yazılımı olan çıktı Messenger’da sıfır günlük bir güvenlik açığından yararlanıyor.
CVE-2025-27920 olarak tanımlanan Output Messenger Server Manager uygulamasındaki bu dizin geçiş kusuru, kimlik doğrulamalı saldırganların kötü amaçlı dosyaları doğrudan sunucunun başlangıç dizinine yüklemesine olanak tanır.
Microsoft araştırmacıları, mermer tozun özellikle Irak’taki varlıkları hedeflediğini ve kurbanları Kürt askeri operasyonlarına bağlayan yüksek güvensel bir değerlendirme ile aktörün Türk hükümet çıkarlarına karşı gruplara tarihsel odaklanmasıyla uyumlu olduğunu gözlemledi.
.png
)
Bu güvenlik açığından yararlanarak, tehdit oyuncusu kötü niyetli yükler, hassas kullanıcı verileri topladı ve uzlaşmış sistemlerden söndürülmüş bilgileri başarıyla sunmuştur.
Microsoft ayrıca ikinci bir güvenlik açığı, CVE-2025-27921 tanımladı, ancak bugüne kadar bu kusurdan herhangi bir sömürü gözlenmedi.
Çıktı Messenger’ın geliştiricisi Srimax, her iki sorun için de yamalar yayınladı, Windows için 2.0.63 ve sömürülen kusurları ele alan sunucu için 2.0.62.
Sofistike Saldırı Zinciri
Mermer Dust’ın saldırı zinciri, teknik sofistike olarak dikkate değer bir yükseliş gösteriyor.
Grup, Potansiyel olarak DNS kaçırma gibi taktikler veya Avrupa ve Orta Doğu’daki telekom sektörlerini hedefleyen geçmiş kampanyalarıyla tutarlı olarak kimlik bilgileri yöntemlerini engellemek için potansiyel olarak DNS kaçırma veya yazım hattı alanları gibi taktikler aracılığıyla doğrulanmış erişim elde ederek başlar.
İçeri girdikten sonra, omserverservice.vbs ve om.vbs gibi kötü amaçlı dosyaları bir GoLang arka kapısı olan omserverservice.exe’nin yanı sıra bir genel dizin haline getirmek için CVE-2025-27920’yi kullanırlar.
Bu arka kapı, sert kodlanmış komut ve kontrol (C2) alanına bağlanır, api.wordinfos[.]com, veri eklemesini etkinleştirme.
İstemci tarafında, başka bir Golang arka kapısı olan omclientervice.exe, aynı C2 etki alanı ile iletişim kurmak, uzaktan komutları yürütmek ve bazı durumlarda, çalıntı dosyaları PLINK (bir komut satırı SSH istemcisi) yoluyla ekstraksiyon için RAR arşivlerine paketlemek için dağıtılır.
Microsoft, mermer Dust’ın çıktı Messenger kullanıcılarını hedeflemeden önce tanımlamak için keşif yaptığını ve operasyonel acillerinde stratejik bir değişime işaret ettiğini ılımlı bir güvenle değerlendiriyor.
Bu sıfır gün istismarı sadece kullanıcı iletişimine erişim sağlamakla kalmaz, aynı zamanda kullanıcıların platform boyunca taklit edilmesine izin vererek yaygın kimlik bilgisi uzlaşması ve operasyonel aksaklıklar da risk alır.
Hafifletme ve acil öneriler
Microsoft, CVE-2025-27920’yi nötralize etmek için çıktı messengerinin yamalı sürümlere güncellenmesinin gerekliliğini vurgulayarak bu tehdidi azaltmaya acil eylemi çağırıyor.
Kuruluşlar, Microsoft Defender antivirüsünde bulut tarafından verilen korumayı etkinleştirmeli, bulut uygulamaları için savunmacıda anomali algılama politikalarını dağıtmalı ve Microsoft Defender güvenlik açığı yönetimi gibi güvenlik açığı yönetimi araçlarını kullanmalıdır.
Ek korumalar, Microsoft Defender XDR’deki Entra Kimliği Koşullu Erişim ve Etkinleştirme Saldırı Yüzey Azaltma Kuralları yoluyla kimlik avına dirençli kimlik doğrulamasının uygulanmasını içerir.
Microsoft ayrıca, şüpheli alanlara bağlantılar veya omserverservice.vbs gibi kötü amaçlı dosyaların varlığı gibi mermer toz aktivitesini tanımlamak için gelişmiş av sorguları ve algılama uyarıları sağlar.
Grubun internete dönük güvenlik açıklarını ve DNS manipülasyonundan yararlanma geçmişi ile sürekli izleme ve sağlam bir güvenlik duruşu, gelişen taktiklerini engellemek için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOC)
| Gösterge | Tip | Tanım | İlk görüldü | Son görüldü |
|---|---|---|---|---|
| hxxps: //api.wordinfos[.]com | İhtisas | Mermer Toz C2 Alanı | Nisan 2024 | Devam eden |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!