【安全资讯】土耳其间谍利用零日漏洞进行信息窃取超过一年

概要：

土耳其间谍利用一款消息应用中的零日漏洞，持续超过一年时间对伊拉克库尔德军进行信息收集。根据微软的报告，这一攻击始于2024年4月，攻击者利用了消息应用Output Messenger中的CVE-2025-27920漏洞。此事件不仅揭示了网络安全的脆弱性，也反映了国家间的网络战斗愈演愈烈。

主要内容：

微软的威胁情报团队指出，攻击者是与土耳其政府有关的间谍组织Marbled Dust，该组织利用该漏洞窃取了库尔德军的用户数据。尽管Output Messenger的开发者Srimax在2024年12月发布了安全更新以修复该漏洞，但并非所有用户都及时应用了补丁。Srimax承认该漏洞可能导致攻击者访问配置文件、敏感用户数据，甚至源代码，进而引发更严重的安全事件。

Marbled Dust的攻击手法逐渐变得更加复杂，微软警告称，这可能表明该组织的目标优先级上升或其操作目标变得更加紧迫。攻击者通过DNS劫持或拼写错误的域名获取认证，进而访问Output Messenger Server Manager，并在服务器启动文件夹中放置恶意文件OM.vbs和OMServerService.vbs。

此外，攻击还影响了Windows客户端，恶意软件OMClientService.exe连接到Marbled Dust的指挥控制域，进行数据外泄。微软和Srimax均建议用户升级至Output Messenger版本V2.0.63，以防止此漏洞被进一步利用。