هاكرز أتراك يستغلون ثغرة ” zero-day” في Output Messenger لنشر بوابات خلفية بلغة Go على خوادم كردية

هاكرز أتراك يستغلون ثغرة " zero-day" في Output Messenger لنشر بوابات خلفية بلغة Go على خوادم كردية
هاكرز أتراك يستغلون ثغرة " zero-day" في Output Messenger لنشر بوابات خلفية بلغة Go على خوادم كردية
شارك هذا الخبر

استغل تهديد إلكتروني مرتبط بتركيا ثغرة أمنية من نوع “يوم الصفر” في منصة الاتصالات الهندية Output Messenger كجزء من حملة تجسس إلكتروني مستمرة منذ أبريل 2024.

وأفاد فريق Microsoft Threat Intelligence:
“أدت هذه الاستغلالات إلى جمع بيانات مستخدمين مرتبطين بأهداف في العراق، لا سيما أفراد مرتبطين بالقوات الكردية العاملة هناك، بما يتوافق مع أولويات استهداف مجموعة Marbled Dust سابقًا.”

نُسبت هذه الأنشطة إلى مجموعة تهديدات تُعرف باسم Marbled Dust (المعروفة سابقًا باسم Silicon)، والتي تُدعى أيضًا Cosmic Wolf وSea Turtle وTeal Kurma وUNC1326. يُعتقد أن هذه المجموعة نشطة منذ 2017 على الأقل، حيث رصدت Cisco Talos هجماتها ضد جهات حكومية وخاصة في الشرق الأوسط وشمال أفريقيا عام 2019.

وفي أوائل العام الماضي، استهدفت المجموعة أيضًا قطاعات الاتصالات والإعلام ومزودي خدمات الإنترنت (ISPs) ومواقع كردية في هولندا.

التفاصيل الفنية للهجوم

بثقة متوسطة، خلصت مايكروسوفت إلى أن المخترقين قاموا بعملية استطلاع مسبق لتحديد ما إذا كانت الضحايا تستخدم Output Messenger، ثم استغلوا الثغرة لنشر حمولات خبيثة وسرقة البيانات.

الثغرة المُستغلة مُسجلة تحت اسم CVE-2025-27920، وهي من نوع “اختراق الدلائل” (Directory Traversal) في الإصدار 2.0.62، مما يسمح للمهاجمين بالوصول إلى ملفات عشوائية أو تنفيذها. قام المطور Srimax بإصلاحها في الإصدار 2.0.63 (ديسمبر 2024)، لكنه لم يذكر في إعلانه أن الثغرة تم استغلالها ميدانيًا.

مراحل الهجوم

  1. الوصول الأولي:

    • يحصل المهاجم على صلاحيات مسؤول في تطبيق Output Messenger Server Manager، غالبًا عبر تقنيات مثل تزوير DNS أو استغلال أخطاء كتابة النطاقات لسرقة بيانات الاعتماد.

  2. نشر الحمولات الخبيثة:

    • يتم استغلال CVE-2025-27920 لوضع ملفات ضارة مثل:

      • OM.vbs وOMServerService.vbs في مجلد بدء التشغيل.

      • OMServerService.exe (بوابة خلفية بلغة Go) في مجلد “Users/public/videos”.

  3. التواصل مع خوادم C2:

    • تتصل البوابة الخلفية بالنطاق الثابت api.wordinfos[.]com لسرقة البيانات.

    • على جانب العميل، يُنفذ الملف OMClientService.exe (بوابة خلفية أخرى) اتصالًا بخادم C2 التابع لـ Marbled Dust، حيث يُرسل معلومات الجهاز ثم ينفذ أوامر عشوائية عبر cmd /c.

  4. سرقة البيانات:

    • رصدت مايكروسوفت جهازًا ضحية يتصل بـ عنوان IP مرتبط سابقًا بالمجموعة، مما يشير إلى عملية سرقة بيانات محتملة.

ثغرة إضافية غير مستغلة

اكتشفت مايكروسوفت أيضًا ثغرة XSS (CVE-2025-27921) في نفس الإصدار، لكن لم يُعثر على دليل لاستغلالها في هجمات فعلية.

تصعيد خطير في قدرات الهاكرز

قالت مايكروسوفت:
“هذا الهجوم يُظهر تطورًا ملحوظًا في قدرات Marbled Dust، حيث نجحت في استغلال ثغرة يوم الصفر، مما يشير إلى تطور تقني وأولويات استهداف أكثر إلحاحًا.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 278

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة