Output Messengerの欠陥がスパイ攻撃でゼロデイとして悪用される(CVE-2025-27920)

Security

記事本文(要約)

トルコ支援のサイバースパイグループが、CVE-2025-27920として知られるゼロデイ脆弱性を利用し、イラクのクルド軍に関連するOutput Messengerのユーザーを攻撃しました。この脆弱性はLANメッセージングアプリケーションにおけるディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が意図しないディレクトリ外の機密ファイルにアクセスしたり、マルウェアをサーバーのスタートアップフォルダーに配置することを可能にします。

この攻撃は、Output Messenger V2.0.63のリリースで修正されましたが、アップデートしていないユーザーを狙ってマルウェアを配布しました。攻撃者はサーバーを侵害して、データの窃取やユーザーのなりすまし、内部システムへのアクセス、業務の混乱を引き起こしました。

Microsoftは、Marbled Dustという名でも知られるこのグループが認証情報を得る方法はDNSハイジャックや誤字ドメインを利用している可能性があると述べています。攻撃者は、コマンド・アンド・コントロールドメインと通信しバックドアを展開することで、被害者の特定情報を取得しました。

このグループは、ヨーロッパや中東で主に通信やIT企業、トルコ政府に反対する組織を標的にしており、最近ではインフラプロバイダのネットワーク侵害を試みるため、インターネットに接続されたデバイスの脆弱性を検出しています。彼らはDNSサーバー設定を変更し、トラフィックを傍受して認証情報を盗む中間者攻撃も行っています。

この新たな攻撃はMarbled Dustの技術力が向上したことを示しており、標的や作戦目標が緊急性を増していることを示唆しています。昨年、このグループはオランダで複数のスパイ活動にも関与しており、通信会社やISP、クルド系ウェブサイトを攻撃対象としていました。

※この要約はChatGPTを使用して生成されました。

公開日: Mon, 12 May 2025 13:34:44 -0400

Original URL: https://www.bleepingcomputer.com/news/security/output-messenger-flaw-exploited-as-zero-day-in-espionage-attacks/

詳細な技術情報

以下は、提供された文章に基づくセキュリティ分析です。

CVE番号

  • CVE-2025-27920: この番号は、Output Messengerのディレクトリトラバーサル脆弱性に割り当てられています。この脆弱性は、2025年に発見されたものとして表記されています。

脆弱性の仕組み

  • ディレクトリトラバーサル: 認証された攻撃者が、意図されたディレクトリ外の重要なファイルにアクセスすることを可能にします。これにより、システムの配置ミスやベストプラクティスが遵守されていない場合、攻撃者は機密データを取得するか、悪意あるペイロードをサーバーのスタートアップフォルダに展開可能です。

攻撃手法

  1. DNSハイジャックまたはタイポスクワッティング: 攻撃者は、DNS設定を変更するか、タイポスクワッティングドメインを利用して認証情報を傍受し、それを用いて攻撃を行います。
  2. バックドアの展開: OMServerService.exeというバックドアプログラムを被害者のデバイスにインストールし、攻撃者が制御するC2(コマンド&コントロール)ドメインと通信します。
  3. データの収集および流出: 攻撃者は、被害者のデバイスに接続し、ファイルを収集した後にRARアーカイブとして保存し、外部に流出させます。

潜在的な影響

  • 機密データの漏洩: ユーザーや組織のデータ、構成ファイル、ソースコードなどの機密情報が漏れるリスクがあります。
  • 不正アクセス: 攻撃者が内部システムに不正アクセスすることで、通信内容をすべて閲覧したり、ユーザーになりすまして操作を行う可能性があります。
  • 業務の中断: 攻撃者がシステムや通信を操作することで、業務の中断や遅延が発生することがあります。

推奨される対策

  1. セキュリティパッチの適用: Output Messengerの脆弱性は、バージョンV2.0.63で修正されているため、アップデートを強く推奨します。
  2. 認証情報の管理: DNSハイジャックやタイポスクワッティングによって認証情報が漏れないように、2段階認証や強固なパスワードポリシーを実施します。
  3. ネットワーク監視と侵入検知: 不審な通信や異常なアクティビティをリアルタイムで監視し、迅速に対応できる体制を整えます。
  4. ユーザートレーニング: 従業員に対し、フィッシングメールや不審なリンクの認識と回避方法を教育します。
  5. DNSのセキュリティ強化: DNS設定への不正アクセスを防ぐため、アクセス制御や監視を強化し、DNSSECなどを導入します。

一般的な脅威情報

  • Marbled Dustグループ: ヨーロッパや中東における通信事業者、政府機関などを標的とするサイバースパイ活動に従事している攻撃グループであるとされています。攻撃方法の洗練化が観察され、より高度な技術を駆使していることが示されています。