トルコ政府の利害に沿うとみられるサイバー脅威アクターが、マルチプラットフォームのチャットソリューションであるOutput Messengerにおける脆弱性(CVE-2025-27920)の修正を適用していないユーザーアカウントを悪用している様子が確認された。
このキャンペーンはMicrosoft Threat Intelligenceによって検知され、少なくとも2024年4月以降継続している。
MicrosoftがMarbled Dustとして追跡しているこの脅威アクターは、トルコと利害が一致するサイバー諜報グループであるとみられている。
調査結果を共有した5月12日付の報告書で、Microsoft Threat Intelligenceは、このキャンペーンの標的がイラクで活動するクルド人軍事組織に関連していると「高い確信」をもって評価した。
悪用されたゼロデイから修正済み脆弱性へ
CVE-2025-27920は、不適切なファイルパス処理に起因するディレクトリトラバーサル攻撃であり、Output Messengerバージョン2.0.62で特定され、2.0.63より前のすべてのバージョンに影響する。
攻撃者はパラメータに../のシーケンスを用いることで、意図されたディレクトリ外の機微なファイルにアクセスでき、設定情報の漏えいや任意ファイルへのアクセスにつながる可能性がある。
Output Messengerを開発するインド拠点の企業Srimaxが2024年12月に公開したアドバイザリによれば、この欠陥はMicrosoftによって発見され、その後バージョン2.0.63で修正された。
しかし、CVE.orgの脆弱性エントリは2025年5月5日にMITREによって報告されており、脆弱性のステータスに関する情報は不完全である。
この脆弱性に関するエンリッチメントデータも欠落しており、深刻度スコア(CVSS)も含まれていない。
Microsoft Threat Intelligenceの報告書はさらに、「MicrosoftはOutput Messengerにおける2つ目の脆弱性(CVE-2025-27921)も特定しており、Srimaxはこれについてもパッチをリリースしている。しかし、Microsoftはこの2つ目の脆弱性が悪用されていることは観測していない」と付け加えた。
Marbled Dustの攻撃チェーン
この悪意あるキャンペーンでは、Marbled Dustはまず認証済みユーザーとしてOutput Messenger Server Managerアプリケーションへのアクセスを獲得することから始める。これはおそらく、DNSハイジャックやタイポスクワッティングされたドメインを通じて、脅威アクターが認証情報を傍受して再利用できるようにすることで実現している。
その後、脅威アクターは侵害したアカウントを利用してユーザーのOutput Messenger認証情報を入手し、続いてCVE-2025-27920の脆弱性を悪用する。
報告書によれば、脅威アクターは2024年4月という早い時期からこの脆弱性の悪用を開始しており、Output Messengerのパッチ更新で検知・報告・修正される数か月前にさかのぼる。
Marbled Dustは、Srimaxの修正がリリースされた後も、未パッチのインスタンスに対して悪用を継続している。
CVE-2025-27920の悪用により、Marbled Dustは一連の悪意あるファイル(OM.vbs、OMServerService.vbs、OMServerService.exe)をOutput Messengerサーバー上の特定ディレクトリにドロップできる。
OMServerService.vbsはOM.vbsを呼び出し、それをGolang製バックドアであるOMServerService.exeに渡す。次にOMServerService.exeは、データ持ち出しのためにハードコードされたドメイン(api.wordinfos[.]com)へ接続する。
クライアント側では、マルウェアがOutputMessenger.exeと、別のGolang製バックドアであるOMClientService.exeを抽出して実行する。OMClientService.exeはコマンド&コントロール(C2)ドメイン(api.wordinfos[.]com)への接続性を確認し、ホスト名情報を送信し、「cmd /c」を用いてC2の応答を実行する。
このマルウェアは、データ持ち出しのためとみられるMarbled Dustに帰属するIPアドレスへの接続も観測されており、plink(PuTTY SSHクライアント)を使用してファイルを収集し、デスクトップ上にRARファイルを作成する。
Marble Dustの過去の活動
これらのエクスプロイトにより、イラクの標的から関連するユーザーデータが収集されている。この標的設定は、これまで観測されてきたMarbled Dustの標的優先順位と一致する。
Marble Dustは少なくとも2019年以降活動しており、欧州および中東の組織を標的としてきた。特に政府機関や、通信および情報技術分野の組織が狙われている。
同グループの活動は、Sea Turtle、COSMIC WOLF、SILICON、Teal Kurma、UNC1326と重複している。
過去のキャンペーンでは、Marbled Dustがインターネットに公開されたアプライアンスやアプリケーションに存在する既知の脆弱性を狙って標的インフラをスキャンし、標的インフラ提供者への初期アクセス獲得手段としてそれらの脆弱性を悪用している様子が観測された。
また同グループは、侵害したDNSレジストリおよび/またはレジストラへのアクセスを用いて、複数国の政府組織のDNSサーバー設定をリセットし、トラフィックを傍受して盗まれた認証情報を記録・再利用できるようにしていたことも観測されている。
Microsoftの研究者は、「この新たな攻撃は、全体的なアプローチの一貫性を保ちながらも、Marbled Dustの能力における顕著な変化を示している」と述べた。
「ゼロデイエクスプロイトの成功は技術的洗練度の向上を示唆しており、Marbled Dustの標的優先順位が引き上げられた、あるいは作戦上の目標がより切迫したものになった可能性も示唆している。」
翻訳元: https://www.infosecurity-magazine.com/news/turkey-hackers-iraq-kurds-zero-day/
