قامت مجموعة تجسس إلكتروني مدعومة من تركيا باستغلال ثغرة يوم صفر لمهاجمة مستخدمي تطبيق Output Messenger المرتبطين بالجيش الكردي في العراق. اكتشف محللو Microsoft Threat Intelligence هذه الهجمات إلى جانب اكتشافهم للثغرة الأمنية (CVE-2025-27920) في تطبيق المراسلة المحلي، وهي ثغرة من نوع اجتياز الدليل (Directory Traversal)، تُمكّن المهاجمين المصادقين من الوصول إلى ملفات حساسة خارج الدليل المخصص، أو نشر برمجيات خبيثة في مجلد بدء تشغيل الخادم. قالت شركة Srimax، المطوّرة للتطبيق، في تنبيه أمني صدر في ديسمبر (حين تم تصحيح الثغرة في النسخة V2.0.63 من التطبيق): يمكن للمهاجمين الوصول إلى ملفات مثل ملفات الإعدادات، وبيانات المستخدم الحساسة، أو حتى الشيفرة المصدرية، واعتمادًا على محتويات الملفات، قد يؤدي ذلك إلى استغلال إضافي، بما في ذلك تنفيذ تعليمات برمجية عن بُعد. كشفت مايكروسوفت يوم الإثنين أن مجموعة القرصنة (المعروفة أيضًا باسم Sea Turtle أو SILICON أو UNC1326) استهدفت المستخدمين الذين لم يُحدثوا أنظمتهم، لتثبيت برمجيات خبيثة بعد حصولهم على وصول إلى تطبيق Output Messenger Server Manager. بعد اختراق الخادم، تمكن القراصنة، المعروفون باسم Marbled Dust، من سرقة بيانات حساسة، والوصول إلى جميع الاتصالات بين المستخدمين، وانتحال شخصياتهم، والوصول إلى الأنظمة الداخلية، والتسبب في اضطرابات تشغيلية. قالت مايكروسوفت: رغم أننا لا نملك حاليًا رؤية واضحة لكيفية حصول Marbled Dust على المصادقة في كل حالة، نُقدّر أن الجهة المهاجمة تستخدم أساليب مثل اختطاف نظام أسماء النطاقات (DNS hijacking) أو تسجيل نطاقات متقاربة في التهجئة (typo-squatting) لاعتراض وتسجيل وإعادة استخدام بيانات الدخول، وهي أساليب سبق أن استخدمتها المجموعة في أنشطة خبيثة سابقة. لاحقًا، قام المهاجمون بنشر باب خلفي (OMServerService.exe) على أجهزة الضحايا، والذي يقوم بالتحقق من الاتصال مع نطاق للتحكم والسيطرة تديره الجهة المهاجمة (api.wordinfos[.]com)، ثم يُرسل معلومات إضافية لتحديد هوية كل ضحية.
اتصل بنا : 0915579536
أو على الموقع الإلكتروني digitalonion.ly
ويمكنكم زيارتنا في موقع الشركة : طرابس-حي الاندلس-بجانب السفارة العراقية
الموقع على الخرائط
اترك تعليقاً