هکرهای ترکیه با اکسپلویت روز صفر پیام رسان Output Messenger، سرورهای کردی را با بکدارهای گولنگ آلوده کردند

یک گروه تهدیدگر وابسته به ترکیه، با بهره برداری از یک آسیب پذیری امنیتی روز صفر (Zero-Day) در یک پلتفرم ارتباطی سازمانی هندی به نام «اوت پوت مسنجر» (Output Messenger)، از آوریل ۲۰۲۴ کارزار جاسوسی سایبری گسترده ای را به راه انداخته است. این حملات نشان دهنده توانایی های رو به رشد این گروه در استفاده از آسیب پذیری های کشف نشده برای نفوذ به اهداف حساس است. آسیب پذیری روز صفر به نقص امنیتی در نرم افزار گفته می شود که توسط توسعه دهنده شناسایی نشده و برای آن اصلاحیه ای ارائه نشده است، و مهاجمان از این فرصت برای حمله استفاده می کنند.

تیم اطلاعات تهدید مایکروسافت (Microsoft Threat Intelligence) در گزارشی اعلام کرد: «این بهره برداری ها منجر به جمع آوری مجموعه ای از داده های کاربری مرتبط از اهدافی در عراق شده است. اهداف این حمله با نیروهای نظامی کرد فعال در عراق مرتبط هستند که با اولویت های هدف گذاری مشاهده شده قبلی گروه ماربلد داست (Marbled Dust) مطابقت دارد.» این گروه هکری تمرکز خاصی بر روی نهادها و گروه های کردی در منطقه داشته است.

این فعالیت خرابکارانه به گروه تهدیدگری که مایکروسافت آن را با نام ماربلد داست (که قبلاً با نام سیلیکون شناخته می شد) ردیابی می کند، نسبت داده شده است. این گروه همچنین با نام های دیگری مانند کازمیک ولف (Cosmic Wolf)، سی ترتل (Sea Turtle)، تیل کورما (Teal Kurma) و یو ان سی ۱۳۲۶ (UNC1326) نیز شناخته می شود. گمان می رود این گروه هکری حداقل از سال ۲۰۱۷ فعال بوده است، اگرچه دو سال بعد بود که شرکت سیسکو تالوس (Cisco Talos) حملاتی را مستند کرد که نهادهای دولتی و خصوصی را در خاورمیانه و شمال آفریقا هدف قرار داده بودند. این گروه سابقه ای طولانی در عملیات های جاسوسی سایبری در منطقه دارد.

در اوایل سال گذشته میلادی، این گروه همچنین به عنوان عامل هدف قرار دادن شرکت های مخابراتی، رسانه ها، ارائه دهندگان خدمات اینترنتی (ISP ها)، ارائه دهندگان خدمات فناوری اطلاعات (IT) و وبسایت های کردی در هلند شناسایی شد. این گستردگی اهداف نشان دهنده منابع و برنامه ریزی دقیق این گروه است.

مایکروسافت با اطمینان متوسط ارزیابی کرده است که این عامل تهدید، پیش از حمله نوعی عملیات شناسایی انجام داده تا مشخص کند آیا اهدافش از کاربران اوت پوت مسنجر هستند یا خیر، و سپس از آسیب پذیری روز صفر برای توزیع محموله های مخرب و استخراج داده ها از اهداف بهره برداری کرده است. شناسایی اولیه به مهاجمان کمک می کند تا حملات خود را دقیق تر و موثرتر انجام دهند.

آسیب پذیری مورد بحث با شناسه CVE-2025-27920، یک آسیب پذیری پیمایش مسیر (Directory Traversal) است که نسخه ۲.۰.۶۲ این نرم افزار را تحت تاثیر قرار می دهد و به مهاجمان از راه دور اجازه می دهد به فایل های دلخواه در سرور دسترسی پیدا کرده یا آن ها را اجرا کنند. این نوع آسیب پذیری به مهاجم اجازه می دهد از دایرکتوری وب ریشه خارج شده و به فایل های سیستمی دسترسی پیدا کند. این مشکل توسط شرکت توسعه دهنده آن، سریماکس (Srimax)، از اواخر دسامبر ۲۰۲۴ با انتشار نسخه ۲.۰.۶۳ برطرف شده است. با این حال، این شرکت در مشاوره امنیتی خود هیچ اشاره ای به بهره برداری فعال از این نقص در حملات واقعی نکرده است.

زنجیره حمله با دستیابی عامل تهدید به برنامه «اوت پوت مسنجر سرور منیجر» (Output Messenger Server Manager) به عنوان یک کاربر احراز هویت شده آغاز می شود. گمان می رود که گروه ماربلد داست از تکنیک هایی مانند ربودن دی ان اس (DNS Hijacking) یا دامنه های تایپوسکوات شده (Typosquatted Domains) برای رهگیری اطلاعات اعتباری مورد نیاز برای احراز هویت استفاده می کند. ربودن دی ان اس به مهاجم اجازه می دهد ترافیک کاربر را به سمت سرورهای مخرب هدایت کند و تایپوسکواتینگ نیز با ثبت دامنه هایی شبیه به دامنه اصلی، کاربران را فریب می دهد.

سپس از این دسترسی برای جمع آوری اطلاعات اعتباری کاربران اوت پوت مسنجر و بهره برداری از آسیب پذیری CVE-2025-27920 برای رها کردن محموله هایی مانند “OM.vbs” و “OMServerService.vbs” در پوشه استارت آپ سرور (Startup Folder) و همچنین فایل “OMServerService.exe” در دایرکتوری “Users/public/videos” سرور استفاده می شود. قرار دادن فایل ها در پوشه استارت آپ تضمین می کند که بدافزار پس از هر بار راه اندازی مجدد سیستم، به طور خودکار اجرا شود.

در مرحله بعد، عامل تهدید از “OMServerService.vbs” (یک اسکریپت ویژوال بیسیک) برای فراخوانی “OM.vbs” و “OMServerService.exe” استفاده می کند. فایل اجرایی اخیر، یک بکدار (Backdoor) نوشته شده به زبان برنامه نویسی گولنگ (Golang) است که برای استخراج داده ها با یک دامنه از پیش تعریف شده و کدگذاری شده در بدافزار (“api.wordinfos[.]com”) تماس برقرار می کند. بکدارها به مهاجمان اجازه می دهند به طور مداوم و مخفیانه به سیستم آلوده دسترسی داشته باشند. زبان گولنگ به دلیل قابلیت کامپایل شدن به فایل اجرایی مستقل و دشواری مهندسی معکوس، مورد توجه توسعه دهندگان بدافزار قرار گرفته است.

مایکروسافت خاطرنشان کرد: «در سمت کلاینت (کاربر)، برنامه نصب کننده، هم فایل قانونی OutputMessenger.exe و هم OMClientService.exe را استخراج و اجرا می کند. فایل دوم نیز یک بکدار دیگر نوشته شده به زبان گولنگ است که به یک دامنه فرمان و کنترل (C2) متعلق به گروه ماربلد داست متصل می شود.» سرور فرمان و کنترل، زیرساختی است که مهاجمان برای مدیریت بدافزارهای خود و ارسال دستورات به آن ها استفاده می کنند.

«این بکدار ابتدا یک بررسی اتصال از طریق یک درخواست GET به دامنه فرمان و کنترل api.wordinfos[.]com انجام می دهد. در صورت موفقیت آمیز بودن، یک درخواست GET دوم حاوی اطلاعات نام میزبان (Hostname) برای شناسایی منحصر به فرد قربانی، به همان سرور فرمان و کنترل ارسال می شود. سپس پاسخ دریافتی از سرور فرمان و کنترل مستقیماً با استفاده از دستور ‘cmd /c’ اجرا می شود که به خط فرمان ویندوز دستور می دهد یک فرمان خاص را اجرا و سپس خاتمه یابد.» این روش به مهاجمان اجازه می دهد دستورات دلخواه را بر روی سیستم قربانی اجرا کنند.

در یک مورد، یک دستگاه قربانی که نرم افزار کلاینت اوت پوت مسنجر بر روی آن نصب بود، به یک آدرس آی پی متصل شده بود که قبلاً به عنوان آدرس مورد استفاده توسط گروه ماربلد داست برای احتمالاً استخراج داده ها شناسایی شده بود.

این غول فناوری همچنین خاطرنشان کرد که یک نقص دوم، یعنی یک آسیب پذیری اسکریپت بین سایتی منعکس شده (Reflected Cross-Site Scripting یا XSS) با شناسه CVE-2025-27921 را در همان نسخه از نرم افزار کشف کرده است، اگرچه اعلام کرد هیچ مدرکی مبنی بر استفاده از آن در حملات واقعی پیدا نکرده است. آسیب پذیری های XSS به مهاجمان اجازه می دهند اسکریپت های مخرب را در مرورگر کاربران دیگر اجرا کنند.

مایکروسافت در پایان تحلیل خود افزود: «این حمله جدید نشان دهنده یک تغییر قابل توجه در توانایی گروه ماربلد داست است، در حالی که آن ها همچنان در رویکرد کلی خود ثبات را حفظ کرده اند. استفاده موفقیت آمیز از یک اکسپلویت روز صفر نشان دهنده افزایش پیچیدگی فنی آن ها است و همچنین می تواند نشان دهد که اولویت های هدف گذاری ماربلد داست تشدید شده یا اهداف عملیاتی آن ها فوریت بیشتری پیدا کرده است.» این امر زنگ خطری برای سازمان ها و نهادهایی است که ممکن است در آینده هدف این گروه قرار گیرند.