กลุ่มผู้ไม่หวังดีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลตุรกี ได้ใช้ช่องโหว่ Zero-Day เพื่อโจมตีผู้ใช้งาน Output Messenger ที่เชื่อมโยงกับกองทัพเคิร์ดในอิรัก
นักวิเคราะห์จาก Microsoft Threat Intelligence ที่ตรวจพบการโจมตีเหล่านี้ยังพบช่องโหว่ด้านความปลอดภัย (CVE-2025-27920) ในแอปพลิเคชันส่งข้อความ LAN ซึ่งเป็นช่องโหว่ประเภท Directory Traversal ที่ทำให้ผู้ไม่หวังดีที่ผ่านการยืนยันตัวตน สามารถเข้าถึงไฟล์ที่สำคัญนอกเหนือจากไดเรกทอรีที่มีสิทธิ์ หรือทำการวาง loader ที่เป็นอันตรายในโฟลเดอร์เริ่มต้นของเซิร์ฟเวอร์ได้
"ผู้ไม่หวังดีสามารถเข้าถึงไฟล์ต่าง ๆ เช่น ไฟล์การตั้งค่าระบบ, ข้อมูลที่สำคัญของผู้ใช้งาน หรือแม้กระทั่งโค้ดต้นฉบับ และขึ้นอยู่กับเนื้อหาของไฟล์นั้น ๆ อาจนำไปสู่การโจมตีเพิ่มเติม เช่น การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution)" Srimax ผู้พัฒนาแอปให้ข้อมูลในคำแนะนำด้านความปลอดภัยที่ออกในเดือนธันวาคม เมื่อมีการแก้ไขช่องโหว่นี้ พร้อมกับการเผยแพร่ Output Messenger V2.0.63
Microsoft ได้เปิดเผยเมื่อวันจันทร์ที่ผ่านมาว่ากลุ่มผู้ไม่หวังดี (ซึ่งถูกติดตามในชื่อ Sea Turtle, SILICON, และ UNC1326) ได้โจมตีผู้ใช้งานที่ไม่ได้อัปเดตระบบเพื่อทำการติดตั้งมัลแวร์ หลังจากที่สามารถเข้าถึงแอปพลิเคชัน Output Messenger Server Manager ได้
หลังจากที่ผู้ไม่หวังดีกลุ่ม Marbled Dust เข้าถึงเซิร์ฟเวอร์ได้สำเร็จ พวกเขาสามารถขโมยข้อมูลที่สำคัญ, เข้าถึงการสื่อสารของผู้ใช้งานทั้งหมด, ปลอมตัวเป็นผู้ใช้งาน, เข้าถึงระบบภายใน และทำให้การทำงานหยุดชะงักได้
Microsoft ระบุว่า "ในขณะนี้เราไม่มีข้อมูลที่ชัดเจนว่า Marbled Dust ได้รับการยืนยันตัวตนได้อย่างไรในแต่ละกรณี แต่เราประเมินว่าผู้ไม่หวังดีใช้เทคนิคการโจมตีแบบ DNS hijacking หรือการใช้โดเมนที่พิมพ์ผิด เพื่อดักจับ, บันทึก และนำข้อมูล Credential มาใช้ใหม่ ซึ่งเป็นเทคนิคที่ Marbled Dust ใช้ในการโจมตีที่เคยพบมาก่อนหน้านี้"
จากนั้นผู้ไม่หวังดีจะดำเนินการติดตั้ง BackDoor (OMServerService.exe) ลงบนอุปกรณ์ของเหยื่อ ซึ่งจะตรวจสอบการเชื่อมต่อกับ command-and-control ของผู้ไม่หวังดี (api.wordinfos[.]com) และส่งข้อมูลเพิ่มเติมที่ช่วยให้ผู้ไม่หวังดีสามารถระบุข้อมูลของเหยื่อแต่ละรายได้
ในกรณีหนึ่ง Output Messenger Client บนอุปกรณ์ของเหยื่อได้เชื่อมต่อกับ IP Address ที่มีความเกี่ยวข้องกับกลุ่ม Marbled Dust ซึ่งมีแนวโน้มว่าจะขโมยข้อมูลทันทีหลังจากที่ผู้ไม่หวังดีสั่งให้มัลแวร์รวบรวมไฟล์ และบีบอัดเป็นไฟล์ RAR
Marbled Dust เป็นกลุ่มที่มีชื่อเสียงในการโจมตีประเทศในยุโรป และตะวันออกกลาง โดยเน้นเป้าหมายเป็นบริษัทด้านโทรคมนาคม และ IT รวมถึงหน่วยงานรัฐบาล และองค์กรที่ต่อต้านรัฐบาลตุรกี
เพื่อเข้าถึงระบบเครือข่ายของผู้ให้บริการโครงสร้างพื้นฐาน กลุ่ม Marbled Dust จะสแกนหาช่องโหว่ในอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต พวกเขายังใช้การเข้าถึงที่ได้จากการโจมตี DNS registry เพื่อเปลี่ยนแปลงการตั้งค่า DNS server ขององค์กรรัฐบาล ซึ่งช่วยให้พวกเขาสามารถดักจับข้อมูลการเชื่อมต่อ และขโมยข้อมูล Credential ผ่านการโจมตีแบบ Man-In-The-Middle
Microsoft ระบุเสริมว่า "การโจมตีใหม่ครั้งนี้เป็นสัญญาณของการเปลี่ยนแปลงที่สำคัญในความสามารถของ Marbled Dust ขณะยังคงรักษาวิธีการโจมตีโดยรวมเหมือนเดิม การใช้ Zero-Day Exploit สำเร็จ แสดงถึงการเพิ่มขึ้นของความซับซ้อนทางเทคนิค และอาจแสดงให้เห็นว่าเป้าหมายการโจมตีของ Marbled Dust ได้ขยายขอบเขต หรืออาจแสดงให้เห็นว่ามีความเร่งด่วนในเป้าหมายการดำเนินงานของพวกเขา"
เมื่อปีที่ผ่านมา Marbled Dust ยังได้รับการเชื่อมโยงกับแคมเปญการสอดแนมหลายครั้งที่มุ่งเป้าไปที่องค์กรในเนเธอร์แลนด์ โดยส่วนใหญ่จะโจมตีบริษัทด้านโทรคมนาคม, ผู้ให้บริการอินเทอร์เน็ต (ISP) และเว็บไซต์ของชาวเคิร์ด ระหว่างปี 2021 ถึง 2023
ที่มา : bleepingcomputer
You must be logged in to post a comment.