Τούρκοι hackers, που ασχολούνται κυρίως με την κυβερνοκατασκοπεία, αξιοποίησαν μια άγνωστη μέχρι πρότινος ευπάθεια (zero-day) για να εξαπολύσουν επιθέσεις εναντίον χρηστών του λογισμικού Output Messenger. Οι βασικοί στόχοι συνδέονταν με τον κουρδικό στρατό στο Ιράκ.
Οι ειδικοί της Microsoft Threat Intelligence, οι οποίοι εντόπισαν τη δραστηριότητα αυτή, ανακάλυψαν επίσης την ευπάθεια που χρησιμοποιήθηκε στις επιθέσεις (CVE-2025-27920). Πρόκειται για μια ευπάθεια “directory traversal“, που επιτρέπει πρόσβαση σε αρχεία εκτός του προβλεπόμενου φακέλου, ή ακόμα και τοποθέτηση κακόβουλων αρχείων στον startup folder του διακομιστή.
Όπως εξηγεί η εταιρεία ανάπτυξης του Output Messenger, Srimax, η ευπάθεια έχει διορθωθεί από τον Δεκέμβριο, με την έκδοση V2.0.63. Η εκμετάλλευσή της, όμως, επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να αποκτήσουν πρόσβαση σε ευαίσθητα αρχεία όπως ρυθμίσεις συστήματος, προσωπικά δεδομένα χρηστών ή ακόμα και πηγαίο κώδικα. Αυτού του είδους η πρόσβαση μπορεί να οδηγήσει σε ακόμα πιο σοβαρές παραβιάσεις, όπως απομακρυσμένη εκτέλεση κακόβουλου κώδικα.
Δείτε επίσης: Ευπάθεια στο VMware Tools επιτρέπει παραβίαση αρχείων
Η Microsoft αποκάλυψε πως η τουρκική ομάδα – γνωστή και με τις ονομασίες Sea Turtle, SILICON και UNC1326 – στοχεύει χρήστες που δεν έχουν εγκαταστήσει τις απαραίτητες ενημερώσεις, προκειμένου να διεισδύσει στο σύστημά τους μέσω του Output Messenger Server Manager και να εγκαταστήσει κακόβουλο λογισμικό.
Μόλις καταφέρουν να παραβιάσουν τον διακομιστή, οι hackers, που η Microsoft αποκαλεί “Marbled Dust”, μπορούν να υποκλέψουν απόρρητες πληροφορίες, να αποκτήσουν πρόσβαση σε εσωτερικές επικοινωνίες, να πλαστογραφήσουν την ταυτότητα χρηστών και να διεισδύσουν σε κρίσιμες υποδομές, προκαλώντας σημαντικές λειτουργικές αναταραχές.
Παρότι προς το παρόν δεν υπάρχουν σαφείς ενδείξεις για τον ακριβή τρόπο με τον οποίο η Marbled Dust κατάφερε να αποκτήσει διαπιστευτήρια σύνδεσης, οι αναλυτές εκτιμούν ότι οι επιτιθέμενοι πιθανόν να χρησιμοποίησαν τεχνικές όπως DNS hijacking ή typo-squatted domains, για να υποκλέψουν και να επαναχρησιμοποιήσουν στοιχεία πρόσβασης. Αυτές οι μέθοδοι έχουν εντοπιστεί και σε παλαιότερες επιθέσεις της ίδιας ομάδας.
Αφού εξασφάλισαν πρόσβαση στα συστήματα των θυμάτων, οι κυβερνοεγκληματίες εγκατέστησαν ένα κακόβουλο πρόγραμμα, ονόματι OMServerService.exe, το οποίο λειτουργούσε ως «backdoor». Το πρόγραμμα αυτό διατηρούσε επαφή με έναν απομακρυσμένο διακομιστή ελέγχου και εντολών (api.wordinfos[.]com), ο οποίος τελούσε υπό τον πλήρη έλεγχο των επιτιθέμενων. Μέσω της σύνδεσης αυτής, οι δράστες μπορούσαν να συλλέγουν επιπλέον δεδομένα, προκειμένου να αναγνωρίσουν και να κατηγοριοποιήσουν τους στόχους τους.
Δείτε επίσης: Τι είναι οι ευπάθειες elevation of privilege και πώς θα προστατευτείτε
Σε μία από τις επιβεβαιωμένες περιπτώσεις, το Output Messenger client στη συσκευή ενός θύματος επικοινώνησε με μια διεύθυνση IP, που έχει συνδεθεί με τους Τούρκους hackers Marbled Dust. Η επικοινωνία αυτή φέρεται να σχετιζόταν με την αποστολή δεδομένων, η οποία έλαβε χώρα λίγο αφότου το κακόβουλο πρόγραμμα έλαβε εντολή να συλλέξει συγκεκριμένα αρχεία και να τα συμπιέσει σε αρχείο τύπου RAR.
Η ομάδα Marbled Dust στοχεύει κυρίως περιοχές της Ευρώπης και της Μέσης Ανατολής, με βασικούς στόχους οργανισμούς στον τομέα των τηλεπικοινωνιών και της τεχνολογίας, ενώ στο στόχαστρο βρίσκονται και κυβερνητικές δομές που αντιτίθενται στις πολιτικές της Τουρκίας.
Για να διεισδύσουν στα δίκτυα, οι επιτιθέμενοι ψάχνουν για αδυναμίες σε συσκευές που είναι προσβάσιμες μέσω του Διαδικτύου. Παράλληλα, αξιοποιούν την πρόσβασή τους σε ήδη παραβιασμένους διακομιστές DNS, προχωρώντας σε αλλαγές των ρυθμίσεων, με αποτέλεσμα να εκτρέπουν το traffic και να υποκλέπτουν credentials μέσω επιθέσεων man-in-the-middle.
Η Microsoft σημείωσε ότι αυτή η πιο πρόσφατη επίθεση υποδηλώνει σημαντική ενίσχυση των δυνατοτήτων της Marbled Dust. Η χρήση μιας zero-day ευπάθειας στο Output Messenger μαρτυρά ανώτερη τεχνική εξειδίκευση και ενδεχομένως αντικατοπτρίζει είτε την ενίσχυση των επιχειρησιακών της προτεραιοτήτων είτε την αυξανόμενη πίεση για την επίτευξη συγκεκριμένων στρατηγικών στόχων.
Ποιες είναι οι τελευταίες τεχνικές αντιμετώπισης Zero-Day ευπαθειών;
Μία από τις πιο σύγχρονες τεχνικές αντιμετώπισης των Zero-Day ευπαθειών είναι η χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης για την ανίχνευση και την πρόληψη αυτών των επιθέσεων. Αυτές οι τεχνολογίες μπορούν να αναλύσουν μεγάλους όγκους δεδομένων και να εντοπίσουν πρότυπα που θα μπορούσαν να υποδεικνύουν μια πιθανή επίθεση.
Δείτε επίσης: Κινέζοι χάκερ εκμεταλλεύονται ευπάθεια του SAP NetWeaver
Επιπλέον, η χρήση των συστημάτων ανίχνευσης εισβολών (IDS) και των συστημάτων πρόληψης εισβολών (IPS) είναι μια άλλη σύγχρονη τεχνική για την αντιμετώπιση των Zero-Day ευπαθειών. Αυτά τα συστήματα μπορούν να αναγνωρίσουν και να αντιμετωπίσουν τις απειλές πριν αυτές επηρεάσουν το σύστημα.
Τέλος, η συνεχής ενημέρωση και παρακολούθηση των συστημάτων είναι απαραίτητη για την προστασία από τις Zero-Day ευπάθειες. Η ενημέρωση του λογισμικού και των συστημάτων ασφαλείας με τις τελευταίες εκδόσεις μπορεί να βοηθήσει στην αποτροπή των επιθέσεων, ενώ η παρακολούθηση των συστημάτων μπορεί να επιτρέψει την άμεση ανίχνευση και αντιμετώπιση τυχόν παραβιάσεων.
Πηγή: www.bleepingcomputer.com
