トルコ関与疑われる攻撃グループ、チャット製品にゼロデイ攻撃
トルコ政府が関与していると見られるサイバー攻撃グループが、メッセージング製品を標的とするゼロデイ攻撃を1年以上前より展開していたことがわかった。
マイクロソフトが攻撃グループ「Marbled Dust」の活動について報告したもの。インドのSrimax Softwareが提供する組織向けチャットツール「Output Messenger」を標的に2024年4月以降、ゼロデイ攻撃を展開していると見られる。
「Marbled Dust」は、別名「Sea Turtle」「UNC1326」などとしても追跡されているグループ。これまでも欧州や中東地域の政府機関、通信、IT関連企業などを標的とした活動が確認されており、今回確認された活動と標的も重なるとマイクロソフトは指摘している。
「Output Messenger」において、認証されたユーザーが悪意あるファイルをサーバのスタートアップディレクトリに配置できるパストラバーサルのゼロデイ脆弱性「CVE-2025-27920」を悪用していた。
認証を取得した経緯などはわかっていないが、事前に同製品のユーザーであるか偵察した上で攻撃を展開し、バックドアを設置してサーバより情報を窃取していたと見られる。マイクロソフトは、今回の攻撃が、イラク内で活動するクルド軍に関連する可能性が高いと評価した。
「Output Messenger」については、悪用は確認されていないものの別の脆弱性「CVE-2025-27921」も確認されており、Srimaxではこれら脆弱性へ対処したアップデートを提供している。
(Security NEXT - 2025/05/20 )
ツイート
関連リンク
PR
関連記事
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に
APTグループが「Chrome」ゼロデイ脆弱性を悪用 - リンク経由で感染
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「Office」のゼロデイ脆弱性、ロシア攻撃グループが悪用
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
さよなら「Adobe Flash Player」 - 2020年末でサポート終了
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連
iPhoneの修正困難な脆弱性 - 公開実証コードをフォレンジック企業が採用
「Flash Player」へのゼロデイ攻撃、「BlackOasis」が関与か - 「FinFisher」感染狙い
MS月例パッチで修正されたゼロデイ脆弱性、国家の諜報活動に悪用か