Tin tặc Marbled Dust khai thác lỗ hổng zero-day trong các cuộc tấn công gián điệp

Một nhóm gián điệp mạng được cho là do Thổ Nhĩ Kỳ hậu thuẫn đã khai thác lỗ hổng zero-day để tấn công người dùng Output Messenger có liên quan đến quân đội người Kurd ở Iraq.

Khai thác lỗ hổng zero-day

Các nhà nghiên cứu bảo mật của Microsoft Threat Intelligence đã phát hiện ra các cuộc tấn công này, đồng thời cho biết các tin tặc Marbled Dust đã khai thác lỗ hổng bảo mật CVE-2025-27920 trong ứng dụng Output Messenger (phần mềm trò chuyện đa nền tảng), đây là loại lỗ hổng Directory Traversal có thể cho phép kẻ tấn công đã xác thực truy cập vào các tệp nhạy cảm bên ngoài thư mục dự định, hoặc triển khai các phần mềm độc hại trên thư mục khởi động của máy chủ.

“Kẻ tấn công có thể truy cập vào tệp cấu hình, dữ liệu người dùng hoặc thậm chí là mã nguồn và tùy thuộc vào nội dung tệp, điều này có thể dẫn đến khai thác sâu hơn, bao gồm cả thực thi mã từ xa”, Srimax, nhà phát triển ứng dụng, giải thích trong một khuyến cáo bảo mật được đưa ra vào tháng 12/2024 khi lỗ hổng được vá bằng bản phát hành Output Messenger V2.0.63.

Mới đây, Microsoft tiết lộ rằng nhóm tin tặc Marbled Dust (hay còn gọi là Sea Turtle, SILICON và UNC1326) đã nhắm mục tiêu vào những người dùng chưa cập nhật bản vá bảo mật để lây nhiễm phần mềm độc hại, sau khi truy cập được vào ứng dụng Output Messenger Server Manager.

Khi xâm nhập vào máy chủ thành công, các tin tặc có thể đánh cắp dữ liệu nhạy cảm, truy cập vào mọi thông tin liên lạc của người dùng, mạo danh người dùng, truy cập vào hệ thống nội bộ và gây gián đoạn hoạt động.

Microsoft cho biết: “Mặc dù hiện tại chúng tôi không biết Marbled Dust đã xác thực như thế nào trong từng trường hợp, nhưng chúng tôi cho rằng kẻ tấn công lợi dụng việc chiếm đoạt DNS hoặc tên miền để chặn, ghi nhật ký và sử dụng lại thông tin đăng nhập, vì đây là những kỹ thuật mà Marbled Dust đã sử dụng trong các hoạt động độc hại đã phát hiện trước đó”.

Tiếp theo, những kẻ tấn công triển khai một backdoor (OMServerService[.]exe) vào thiết bị của nạn nhân, kiểm tra kết nối với máy chủ điều khiển và ra lệnh (C2) do kẻ tấn công kiểm soát (api[.]wordinfos[.]com) và sau đó cung cấp cho tin tặc thông tin bổ sung để xác định từng nạn nhân.

Chuỗi tấn công của Marbled Dust (nguồn: Microsoft)

Trong một trường hợp, ứng dụng Output Messenger trên thiết bị của nạn nhân được kết nối với địa chỉ IP có liên kết với nhóm tin tặc Marbled Dust, có khả năng là để đánh cắp dữ liệu, ngay sau khi kẻ tấn công ra lệnh cho phần mềm độc hại thu thập các tệp và lưu trữ chúng dưới dạng tệp RAR.

Marbled Dust thường được biết đến với mục tiêu nhắm vào khu vực châu Âu và Trung Đông, tập trung vào các công ty viễn thông và công nghệ thông, cũng như các tổ chức chống đối Chính phủ Thổ Nhĩ Kỳ.

Để xâm phạm mạng lưới của các nhà cung cấp cơ sở hạ tầng, các tin tặc rà quét các lỗ hổng trong các thiết bị kết nối Internet. Chúng cũng đang khai thác quyền truy cập vào các registry DNS bị xâm phạm để thay đổi cấu hình máy chủ DNS của các tổ chức, cho phép chúng chặn lưu lượng truy cập và đánh cắp thông tin đăng nhập trong các cuộc tấn công MitM.

“Cuộc tấn công mới này báo hiệu sự thay đổi đáng kể trong khả năng của Marbled Dust trong khi vẫn duy trì tính nhất quán trong cách tiếp cận tổng thể của chúng. Việc khai thác thành công lỗ hổng zero-day cho thấy sự gia tăng về mặt kỹ thuật và cũng có thể cho thấy các ưu tiên nhắm mục tiêu của Marbled Dust đã tinh vi, mở rộng hơn”, Microsoft cho biết.

Marbled Dust cũng có liên quan đến nhiều chiến dịch gián điệp nhắm vào các tổ chức ở Hà Lan, chủ yếu tấn công mạng vào các công ty viễn thông, nhà cung cấp dịch vụ Internet (ISP) và các trang web của người Kurd từ năm 2021 đến năm 2023.

Khuyến nghị giảm thiểu

Microsoft khuyến nghị các biện pháp giảm thiểu sau đây để giảm tác động của mối đe dọa này:

Tăng cường cấu hình môi trường hoạt động

- Đảm bảo rằng Output Messenger được cập nhật lên phiên bản không bị ảnh hưởng bởi lỗ hổng bảo mật, bao gồm phiên bản 2.0.63 cho Windows và 2.0.62 cho máy chủ.

- Bật tính năng Cloud-Delivered Protection trong Microsoft Defender Antivirus hoặc các chương trình, ứng dụng anti-virus khác.

- Tạo chính sách phát hiện bất thường trên Defender for Cloud Apps.

- Sử dụng hệ thống quản lý lỗ hổng, chẳng hạn như Microsoft Defender Vulnerability Management, để quản lý các lỗ hổng, điểm yếu và nỗ lực khắc phục trên toàn bộ hệ điều hành, kho phần mềm và thiết bị mạng của môi trường người dùng.

- Khuyến khích người dùng sử dụng Microsoft Edge và các trình duyệt web khác hỗ trợ Microsoft Defender SmartScreen, tính năng này có thể xác định và ngăn chặn các trang web độc hại, bao gồm các trang web lừa đảo và các trang web lưu trữ phần mềm độc hại.

- Các tổ chức cũng có thể sử dụng Microsoft Defender External Attack Surface Management (EASM), một công cụ liên tục phát hiện và lập bản đồ bề mặt tấn công kỹ thuật số. EASM tận dụng dữ liệu về lỗ hổng và cơ sở hạ tầng để tạo Attack Surface Insights, báo cáo nêu bật các rủi ro chính đối với một tổ chức nhất định.

Tăng cường cấu hình Microsoft Defender for Endpoint

- Đảm bảo rằng tính năng Tamper Protection được bật trong Microsoft Defender for Endpoint.

- Bật tính năng Network Protection trong Microsoft Defender for Endpoint.

- Bật tính năng Web Protection.

- Chạy Endpoint Detection and Response (EDR) ở chế độ Block mode để Microsoft Defender for Endpoint có thể ngăn chặn các mẫu độc hại, ngay cả khi phần mềm anti-virus không phát hiện ra mối đe dọa, hoặc khi Microsoft Defender Antivirus đang chạy ở chế độ Passive.