由Microsoft威胁智能跟踪的Türkiye附属的间谍威胁参与者(也称为Sea Turtle and UNC1326)一直在利用流行的多人聊天软件的输出Messenger中的零天脆弱性。
该目录遍历Messenger Server Manager应用程序中的此目录遍历缺陷被确定为CVE-2025-27920,允许身份验证的攻击者将恶意文件直接上传到服务器的启动目录中。
微软的研究人员观察到,大理石尘专门针对伊拉克实体的目标,其高信评估将受害者与库尔德军事行动联系起来,与演员对反对土耳其政府利益的团体的历史关注一致。
通过利用这种漏洞,威胁性演员成功地传递了恶意有效载荷,收集的敏感用户数据以及从折衷的系统中删除信息。
也是微软 确定 CVE-2025-27921的第二个漏洞,尽管迄今未观察到这种缺陷的剥削。
Output Messenger的开发人员Srimax已发布了两个问题的补丁程序,Windows版本为2.0.63,服务器的2.0.62用于解决利用缺陷的服务器。
复杂的攻击链
大理石灰尘的攻击链表明技术成就率显着升级。
大理石尘攻击链
该小组首先获得对输出Messenger Server Manager的身份验证访问权限,这可能是通过诸如DNS劫持或错别字划分的域之类的策略,以拦截凭借其过去针对欧洲政府和电信领域的广告系列的凭证方法,以实现欧洲和中东的电信领域。
进入室内后,他们将CVE-2025-27920利用omserverservice.vbs和om.vbs等恶意文件进入启动文件夹,并与golang后门Omserverservice.exe一起进入公共目录。
此后门连接到硬编码的命令和控制(C2)域,api.wordinfos[.]com,启用数据剥落。
在客户端,部署了另一个Golang后门Omclientservice.exe,以与相同的C2域进行通信,执行远程命令,并在某些情况下将被盗的文件包装到RAR Archives中,以通过PLINK(命令线SSH SSH客户端)等工具提取RAR Archives。
微软对大理石灰尘进行侦察的信心中心评估,以识别输出信使用户在目标之前,表明其运营紧迫性的战略性转移。
零日的利用不仅可以授予对用户通信的访问,而且通过允许在整个平台中的用户模仿来冒险妥协和操作中断。
缓解和紧急建议
Microsoft敦促立即采取行动来减轻这种威胁,强调将输出使者更新为修补版本的必要性,以中和CVE-2025-27920。
组织应在Microsoft Defender Antivirus中启用云传递的保护,在Defender中为云应用程序部署异常检测策略,并利用Microsoft Defender漏洞管理等漏洞管理工具。
其他保障措施包括通过ENTRA ID条件访问来实施抗网络钓鱼的身份验证,并激活Microsoft Defender XDR中的攻击表面减少规则。
微软还提供了高级的狩猎查询和检测警报,以识别大理石灰尘活动,例如与可疑域的连接或存在恶意文件(例如OmServerService.vbs)。
鉴于该小组利用面向互联网的漏洞和DNS操纵的历史,持续监控和强大的安全姿势对于挫败其不断发展的策略至关重要。
妥协的指标(IOC)
| 指标 | 类型 | 描述 | 首先看到 | 最后一个见面 |
|---|---|---|---|---|
找到这个消息很有趣!跟随我们 Google新闻,,,, LinkedIn,& x 获取即时更新呢
#攻击者利用未拨打的输出使者0天进行恶意有效载荷