Tổng quan

Từ tháng 4 năm 2024, Microsoft đã ghi nhận nhóm tin tặc có tên Marbled Dust khai thác một lỗ hổng bảo mật nghiêm trọng (mã CVE-2025-27920) trong ứng dụng nhắn tin Output Messenger – một phần mềm chat đa nền tảng. Nhóm này nhắm vào những tài khoản chưa cập nhật bản vá và đã thành công trong việc thu thập dữ liệu người dùng từ các mục tiêu tại Iraq.

Việc khai thác lỗ hổng cho phép tin tặc gửi các tập tin độc hại và đánh cắp dữ liệu từ hệ thống của nạn nhân.

Ngay sau khi phát hiện lỗ hổng này, Microsoft đã thông báo cho Srimax, công ty phát triển Output Messenger. Srimax đã nhanh chóng phát hành bản vá. Đồng thời, một lỗ hổng thứ hai (CVE-2025-27921) cũng được Microsoft phát hiện và đã được Srimax xử lý, dù hiện chưa có dấu hiệu bị khai thác.

Trong báo cáo chi tiết, Microsoft cũng cung cấp thông tin kỹ thuật về cách thức tấn công của Marbled Dust, các hướng dẫn giảm thiểu rủi ro, phương pháp phát hiện và công cụ điều tra.

Nhóm Marbled Dust

Microsoft đánh giá rằng Marbled Dust là nhóm tin tặc thực hiện hoạt động gián điệp có liên hệ với Thổ Nhĩ Kỳ. Nhóm này nhắm vào các tổ chức chính phủ, viễn thông và công nghệ thông tin tại châu Âu và Trung Đông, đặc biệt là những bên có thể đối lập với lợi ích của chính phủ Thổ Nhĩ Kỳ.

Trong các chiến dịch trước, Marbled Dust thường tấn công vào hạ tầng có lỗ hổng bảo mật hoặc chiếm quyền kiểm soát DNS để chặn lưu lượng truy cập và đánh cắp thông tin đăng nhập.

Theo đánh giá của Microsoft, các nạn nhân bị nhắm đến có liên quan đến lực lượng quân sự người Kurd đang hoạt động tại Iraq – phù hợp với xu hướng tấn công trước đây của Marbled Dust. Ngoài ra, có khả năng nhóm này đã thực hiện do thám từ trước để xác định xem nạn nhân có đang sử dụng Output Messenger không, rồi mới triển khai tấn công. Đợt tấn công mới nhất cho thấy trình độ kỹ thuật của nhóm đang tăng lên, với việc sử dụng thành công một lỗ hổng zero-day, đồng thời cho thấy mục tiêu và động cơ hoạt động của họ đang trở nên cấp bách hơn.

Lỗ hổng Zero-day trên Output Message

Các chuyên gia bảo mật của Microsoft đã phát hiện lỗ hổng zero-day CVE-2025-27920 mà nhóm Marbled Dust khai thác. Đây là một lỗ hổng directory traversal trong ứng dụng Output Messenger Server Manager, cho phép kẻ tấn công đã xác thực tải lên tập tin độc hại vào thư mục khởi động (startup) của máy chủ.

Cách khai thác hoạt động như sau:

Output Messenger Server cho phép người dùng tải lên/tải xuống tập tin nếu quản trị viên bật tính năng “output drive”.
Mặc định, các tập tin này được lưu ở: C:\Program Files\Output Messenger Server\OfflineMessages\Temp\1\File on the server
Sau khi đăng nhập, kẻ tấn công có thể chèn chuỗi đường dẫn độc hại vào tham số “name” để đặt tập tin vào thư mục startup của Windows.
Ví dụ: name=”../../../../../../../../../../ProgramData/Microsoft/Windows/Start Menu/Programs/StartUp/OMServerService.vbs

Bằng cách này, Marbled Dust đã tải tập tin độc hại OMServerService.vbs vào thư mục khởi động – nơi tự động chạy mỗi khi hệ thống bật lại.

Hệ quả nghiêm trọng sau khi chiếm quyền máy chủ

Khi đã kiểm soát được máy chủ Output Messenger, Marbled Dust có thể:

Nghe lén toàn bộ tin nhắn và dữ liệu chia sẻ của mọi người dùng trong hệ thống.
Giả mạo người dùng, đánh cắp dữ liệu nhạy cảm.
Gây gián đoạn hoạt động, xâm nhập vào hệ thống nội bộ, và lộ lọt thông tin đăng nhập hàng loạt.

Output Messenger hoạt động theo mô hình client-server, nơi mọi tin nhắn và tập tin đều phải đi qua máy chủ – nên nếu máy chủ bị chiếm quyền, toàn bộ hệ thống sẽ bị đe dọa.

Chuỗi tấn công của Marbled Dust vào hệ thống Output Messenger

Cuộc tấn công bắt đầu khi Marbled Dust truy cập được vào Output Messenger Server Manager dưới danh nghĩa người dùng hợp lệ. Mặc dù chưa rõ nhóm này lấy thông tin đăng nhập như thế nào trong từng trường hợp, Microsoft nhận định họ có thể đã sử dụng các kỹ thuật như chiếm quyền DNS (DNS hijacking) hoặc mạo danh tên miền (typo-squatting) để đánh cắp và tái sử dụng thông tin đăng nhập – tương tự các chiến dịch trước đây của nhóm.

Sau khi có quyền truy cập, Marbled Dust khai thác lỗ hổng CVE-2025-27920, cho phép ghi tập tin độc hại vào thư mục khởi động của máy chủ. Nhóm đã tải lên ba tập tin:

OM.vbs
OMServerService.vbs (đặt trong thư mục khởi động)
OMServerService.exe (đặt tại thư mục Users/Public/Videos)

Tập tin OMServerService.vbs sẽ gọi OM.vbs, truyền nó làm đối số cho OMServerService.exe. Dù hiện tại chưa thể phân tích OM.vbs, Microsoft xác định OMServerService.exe là một cửa hậu (backdoor) viết bằng ngôn ngữ Go, được ngụy trang thành tập tin hợp pháp. GoLang phù hợp trong tấn công này vì không phụ thuộc vào phiên bản hệ điều hành. Trong một số trường hợp, phần mềm này kết nối tới tên miền cố định api.wordinfos[.]com để truyền dữ liệu bị đánh cắp.

Tấn công trên phía máy khách

Trên máy người dùng (client), trình cài đặt sẽ tự động giải nén và chạy:

OutputMessenger.exe (tập tin hợp pháp)
OMClientService.exe (một backdoor khác viết bằng GoLang)

Backdoor này sẽ:

Gửi yêu cầu GET kiểm tra kết nối tới api.wordinfos[.]com
Gửi thêm thông tin về tên máy (hostname) để định danh nạn nhân
Nếu nhận được phản hồi từ C2, nó sẽ chạy trực tiếp lệnh đó thông qua cmd /c – cho phép máy bị kiểm soát thực thi bất kỳ lệnh nào do kẻ tấn công gửi.

Hành vi trích xuất dữ liệu

Trong ít nhất một trường hợp, máy tính cài Output Messenger client đã kết nối tới địa chỉ IP liên kết với Marbled Dust, trùng thời điểm nhóm này thu thập tập tin (có nhiều định dạng) và nén thành tập tin .RAR để chuẩn bị gửi đi. Việc kết nối ra ngoài được thực hiện thông qua Plink – công cụ dòng lệnh của PuTTY dành cho giao thức SSH.

A diagram of the Marbled Dust attack chain

Khuyến nghị

Để tăng cường bảo mật, phía FPT Threat Intelligence đưa ra các khuyến nghị sau nhằm đối phó với cuộc tấn công trên:

Cập nhật phần mềm Output Messenger lên phiên bản không bị ảnh hưởng bởi lỗ hổng trên:
- Phiến bản 2.0.63 cho Windows
- Phiên bản 2.0.62 cho Server
Cài đặt các phần mềm diệt virus và thiết lập giám sát thiết bị cuối để phát hiện ngăn chặn kịp thời hành vi tấn công
Xác thực đa yếu tố cũng rất quan trọng để đảm bảo an toàn cho các nhân viên và người dùng

Lỗ hổng zero-day trong Output Messenger bị nhóm Marbled Dust khai thác để thực hiện hành vi gián điệp