Türkiye’ye bağlı bir tehdit oyuncusu, Nisan 2024’ten bu yana Siber Casusluk Saldırısı kampanyasının bir parçası olarak Output Messenger olarak adlandırılan bir Hintli kurumsal iletişim platformunda sıfır gün güvenlik kusurundan yararlandı.
Microsoft Tehdit İstihbarat Ekibi, “Bu istismarlar Irak’taki hedeflerden ilgili kullanıcı verilerinin bir koleksiyonuyla sonuçlandı.” Dedi. Diyerek şöyle devam etti: “Saldırının hedefleri, Irak’ta faaliyet gösteren Kürt ordusu ile daha önce gözlenen mermer toz hedefleme öncelikleri ile tutarlı.”
Etkinlik, Kozmik Kurt, Deniz Kaplumbağası, Teal Kurma ve UNC1326 olarak da bilinen mermer toz (eski adıyla silikon) olarak izlediği bir tehdit grubuna atfedildi. Hacking ekibinin en az 2017’den beri aktif olduğuna inanılıyor, ancak iki yıl sonrasına kadar Cisco Talos Orta Doğu ve Kuzey Afrika’daki kamu ve özel kuruluşları hedefleyen saldırıları belgeledi.
Geçen yılın başlarında, telekomünikasyon, medya, İnternet servis sağlayıcıları (ISS), bilgi teknolojisi (IT)-hizmet sağlayıcıları ve Hollanda’daki Kürt web sitelerini hedefleme olarak da tanımlandı.
Microsoft, tehdit oyuncusunun hedeflerinin messenger kullanıcıları çıkıp çıkmadığını belirlemek ve daha sonra kötü amaçlı yükleri dağıtmak ve hedeflerden verileri eksfiltrate etmek için sıfır günden yararlanmak için önceden bir tür keşif yaptığına dair ılımlı bir güvenle değerlendirmiştir.
Söz konusu güvenlik açığı, uzak saldırganların keyfi dosyalara erişmesine veya yürütmesine izin veren 2.0.62 sürümünü etkileyen bir dizin geçiş güvenlik açığı olan CVE-2025-27920’dir. Sorun, geliştiricisi Srimax tarafından Aralık 2024’ün sonundan itibaren 2.0.63 sürümüyle ele alınmıştır. Ancak şirket, danışmanlığında vahşi doğada sömürülen kusurdan bahsetmemektedir.
Saldırı zinciri, tehdit oyuncusu, kimlik doğrulamalı bir kullanıcı olarak çıktı Messenger Server Manager uygulamasına erişim kazanmasıyla başlar. Kimlik doğrulama için gereken kimlik bilgilerini kesmek için DNS kaçırma veya yazım hattı alanları gibi tekniklerin kullandığına inanılmaktadır.
Daha sonra erişim, kullanıcının çıktı messenger kimlik bilgilerini toplamak ve CVE-2025-27920’den istismar etmek için istismar edilir.
Bir sonraki aşamada, tehdit oyuncusu “om.vbs” ve “omserverservice.exe” çağırmak için “omserverservice.vbs” kullanıyor, ikincisi sabit kodlu bir alan (“api.wordinfos[.]com “) veri eksfiltrasyonu için.
Microsoft, “İstemci tarafında, yükleyici hem meşru File OutputMessenger.exe.exe ve OmclientService.exe’yi çıkarıyor ve yürütüyor, mermer toz komut ve kontrol (C2) alanına bağlanan başka bir Golang arka kapısı.”
“Bu arka kapı ilk olarak C2 Etki Alanı API.WordInfos’a bir GET isteği aracılığıyla bir bağlantı kontrolü gerçekleştirir[.]com. Başarılı olursa, kurbanı benzersiz bir şekilde tanımlamak için ana adı bilgisi içeren aynı C2’ye ikinci bir GET isteği gönderilir. Daha sonra C2’den gelen yanıt, Windows komut istemine belirli bir komutu çalıştırmasını ve ardından sonlandırılması talimatını veren ‘CMD /C’ komutu kullanılarak doğrudan yürütülür. “
Bir vakada, daha önce olası veri açılması için mermer toz tarafından kullanılan bir IP adresine bağlanan çıktı Messenger istemci yazılımına sahip bir kurban cihazı içeriyordu.
Teknoloji devi ayrıca, aynı versiyonda (CVE-2025-27921) ikinci bir kusur, yansıtılan siteler arası komut dosyası (XSS) kırılganlığı keşfettiğini belirtti, ancak gerçek dünya saldırılarında silahlandırıldığına dair hiçbir kanıt bulamadı.
Microsoft, “Bu yeni saldırı, genel yaklaşımlarında tutarlılığı korurken mermer Dust’un kapasitesinde önemli bir değişime işaret ediyor.” Dedi. Diyerek şöyle devam etti: “Sıfır günlük bir istismarın başarılı bir şekilde kullanılması, teknik karmaşıklıkta bir artış olduğunu gösteriyor ve ayrıca mermer Dust’ın hedefleme önceliklerinin arttığını veya operasyonel hedeflerinin daha acil hale geldiğini gösterebilir.”