【安全资讯】Output Messenger漏洞被利用为零日攻击，涉及间谍活动

概要：

近期，Türkiye支持的网络间谍组织利用Output Messenger中的零日漏洞，对与伊拉克库尔德军事相关的用户发起攻击。这一安全漏洞（CVE-2025-27920）使得攻击者能够访问敏感文件，甚至在服务器启动文件夹中部署恶意载荷，造成严重的数据泄露风险。

主要内容：

Output Messenger的开发者Srimax在去年12月发布的安全公告中指出，该漏洞允许经过身份验证的攻击者访问原本不应接触的敏感文件，包括配置文件和用户数据。这一漏洞的利用可能导致远程代码执行等更严重的后果。微软的威胁情报分析师发现，名为Marbled Dust的黑客组织针对未更新系统的用户进行攻击，成功感染了Output Messenger Server Manager应用。

一旦攻陷服务器，Marbled Dust黑客能够窃取敏感数据，访问所有用户通信，甚至伪装成用户进行内部系统访问，造成运营中断。微软分析认为，攻击者可能利用DNS劫持或拼写错误的域名来获取认证信息，这些都是Marbled Dust在以往恶意活动中使用的技术。

此外，攻击者在受害者设备上部署了后门程序（OMServerService.exe），该程序与攻击者控制的命令与控制域（api.wordinfos[.]com）进行连接，提供额外信息以识别每个受害者。微软指出，此次攻击标志着Marbled Dust能力的显著提升，成功利用零日漏洞表明其技术复杂性增加，可能意味着其目标优先级的提升或操作目标的紧迫性加剧。