記事本文(要約)
トルコ関連の脅威アクター「Marbled Dust」が、イラクのクルド軍に関連する団体を標的に、Output Messengerのゼロデイ脆弱性(CVE-2025-27920)を悪用しているとMicrosoftが報告しました。このグループは以前からヨーロッパや中東の政府や情報技術、通信に関わる組織を標的にしており、DNSハイジャックを通じた資格情報の窃取が確認されています。
CVE-2025-27920は、ディレクトリトラバーサルの脆弱性が含まれており、リモートの攻撃者が任意のコードを実行したり、機密情報にアクセスしたりする可能性があります。この脆弱性は2024年4月から攻撃に利用され、12月に修正されましたが、CVE番号は最近になって発行されました。
Marbled Dustは、認証情報を利用してバックドアを被害者のデバイスに展開し、任意のコマンドを実行しています。被害を防ぐために、利用者はすぐにOutput Messengerの最新バージョン2.0.63への更新を推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 13 May 2025 10:59:40 +0000
Original URL: https://www.securityweek.com/output-messenger-zero-day-exploited-by-turkish-hackers-for-iraq-spying/
詳細な技術情報
以下は、提供された情報に基づき、CVE番号、脆弱性の仕組み、攻撃手法、潜在的な影響、推奨される対策に関する詳細な分析です。
CVE番号
- CVE-2025-27920: Output Messengerにおけるディレクトリトラバーサルの脆弱性。
脆弱性の仕組み
- ディレクトリトラバーサル脆弱性: Output MessengerのバージョンV2.0.62に存在し、攻撃者が
../のようなパスを利用して指定のディレクトリ範囲外にファイルパスを操作し、意図しないファイルにアクセスしたり実行したりすることを可能にします。この脆弱性により、攻撃者はサーバー内の機密ファイルを露出させたり、変更したりする可能性があります。
攻撃手法
- 初期アクセス: Marbled Dustは、DNSハイジャックやタイプスコッティングにより資格情報を取得。
- 脆弱性の利用: CVE-2025-27920を利用して、認証された状態でサーバのスタートアップディレクトリに任意のファイルをアップロード。
- バックドアの展開: 被害者のシステムにバックドアをインストールし、任意のコマンドを実行。最終的な目的は重要情報の収集。
潜在的な影響
- 情報漏洩: 機密情報の不正アクセスと情報漏洩。
- システム妥協: 任意コード実行によるシステムコントロールへの影響。
- 運用への影響: 軍事組織や他のターゲット団体の運用に対する直接的影響。
推奨される対策
- バージョンアップ: Output Messengerを最新バージョン2.0.63に更新し、脆弱性を修正。
- ネットワーク監視と異常検知: 不審な活動や異常な接続を検出するためのネットワーク監視体制の強化。
- 資格情報管理: DNSハイジャックやタイプスコッティングによる資格情報の漏洩を防ぐため、強力な認証手段の実装。
- ログの監査: 攻撃の痕跡を素早く検出するためにサーバーログの定期的な監査。
- セキュリティトレーニング: 社員および関係者に対するセキュリティトレーニングを強化し、社会的工程を利用した攻撃への対応力を高める。
