Türkiye-Linked Hackers Exploit Output Messenger Zero-Day (CVE-2025-27920) in Espionage Campaign
2025/05/12 SecurityOnline — Microsoft Threat Intelligence が公表したのは、Output Messenger のゼロデイ脆弱性を悪用する地域的なサイバー諜報キャンペーンと、トルコ由来の脅威アクター Marbled Dust を関連付けたという情報である。この、イラクの組織を標的とするキャンペーンは、2024年4月に初めて観測され、その攻撃対象には、クルド系軍事組織に関係する個人も含まれていた。この攻撃では、ディレクトリ・トラバーサル脆弱性 CVE-2025-27920 を、ゼロデイとして悪用する高度な侵害チェーンが活用されている。
Microsoft の研究者たちは、「この脆弱性を悪用する Marbled Dust は、悪意のファイル OMServerService.vbs を StartUp フォルダに保存した」と指摘している。
悪用された脆弱性は、豊富な機能を提供するコラボレーション・プラットフォーム Output Messenger Server Manager に存在する。この脆弱性は、認証されたユーザーに対して、サーバ上の StartUp ディレクトリへの、悪意のファイルのアップロードを許すディレクトリ・トラバーサルの欠陥である。
攻撃者は、OMServerService.vbs および OM.vbs というファイルをドロップする攻撃者は、”api.wordinfos[.]com” に存在するハードコードされた Command and Control サーバに接続するための、偽装された GoLang ベースのバックドア “OMServerService.exe” を実行していた。
このバックドアのインストールを完了した脅威アクターは、被害者のサーバ上での完全な監視およびコマンドの実行を達成し、ユーザー通信の傍受/アカウントへの成りすましに加えて、さらなる組織インフラへの侵入を可能にする。
被害者のシステム上において、インストーラー・パッケージは2つ目の Go ベースのバックドア (OMClientService.exe) を密かに抽出する。このバックドアは、以下の機能を備えている:
- 同一の C2 ドメインへの接続チェックの実行
- システムのフィンガープリント・データの送信
- C2 サーバから取得するコマンドの実行
Windowsコマンドシェル (cmd /c ) 経由
Windows 向けの PuTTY SSH クライアントである、Plink を悪用する攻撃者は、データ漏洩のためのアウトバウンド・トンネルを確立する。
Microsoft の見立てによると、このオペレーションは、中東およびヨーロッパの政府機関や通信インフラを標的とする、トルコ由来のスパイグループ Marbled Dust に帰属するという。このグループは、脅威クラスター Sea Turtle および UNC1326 に関連して活動している。
Microsoft は「今回の新たな攻撃は、Marbled Dust の能力における顕著な変化を示しており、同グループによる標的化の頻度の上昇が示唆される」と警告している。
過去において Marbled Dust は、レジストラの侵害を通じた DNS ハイジャックや、認証情報の窃取などに関与していた。今回の、特定のメッセージング・プラットフォームにおけるゼロデイ脆弱性の悪用は、攻撃の高度化を示す重要なステップアップと思われる。
Microsoft は、Output Messenger の開発元である Srimax と協力し、この脆弱性に対処している。現在までに、以下の2件の脆弱性が特定されている:
- CVE-2025-27920:積極的に悪用されているディレクトリ・トラバーサル脆弱性
- CVE-2025-27921:攻撃は未確認であるが、すでにパッチが適用されている脆弱性
ユーザーに対して強く推奨されるのは、以下の最新かつセキュアなバージョンへの更新である:
これまでにおいて、活発なサイバー・スパイ活動を行うのは、中国/北朝鮮/ロシア/イランだとされてきましたが、その波が周辺諸国へと広がっているのでしょう。つい先日の、2025/05/01 には、「トランプ政権の安全保障会議:攻撃的ハッキングの可能性について述べる – RSAC 2025」という記事をポストしています。よろしければ、カテゴリ APT と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.