トルコ関与疑われる攻撃グループ、チャット製品にゼロデイ攻撃

トルコ政府が関与していると見られるサイバー攻撃グループが、メッセージング製品を標的とするゼロデイ攻撃を1年以上前より展開していたことがわかった。

マイクロソフトが攻撃グループ「Marbled Dust」の活動について報告したもの。インドのSrimax Softwareが提供する組織向けチャットツール「Output Messenger」を標的に2024年4月以降、ゼロデイ攻撃を展開していると見られる。

「Marbled Dust」は、別名「Sea Turtle」「UNC1326」などとしても追跡されているグループ。これまでも欧州や中東地域の政府機関、通信、IT関連企業などを標的とした活動が確認されており、今回確認された活動と標的も重なるとマイクロソフトは指摘している。

「Output Messenger」において、認証されたユーザーが悪意あるファイルをサーバのスタートアップディレクトリに配置できるパストラバーサルのゼロデイ脆弱性「CVE-2025-27920」を悪用していた。

認証を取得した経緯などはわかっていないが、事前に同製品のユーザーであるか偵察した上で攻撃を展開し、バックドアを設置してサーバより情報を窃取していたと見られる。マイクロソフトは、今回の攻撃が、イラク内で活動するクルド軍に関連する可能性が高いと評価した。

「Output Messenger」については、悪用は確認されていないものの別の脆弱性「CVE-2025-27921」も確認されており、Srimaxではこれら脆弱性へ対処したアップデートを提供している。

（Security NEXT - 2025/05/20 ）ツイート