عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) باب خلفي لـ MarsSnake

باب خلفي لـ MarsSnake

بواسطة Mezo في التهديد المستمر المتقدم (APT), الأبواب الخلفية
ترجمة الى:

كشف خبراء أمن المعلومات مؤخرًا عن أساليب مجموعة قرصنة صينية تُعرف باسم UnsolicitedBooker. استهدفت هذه المجموعة منظمة دولية مجهولة الهوية في المملكة العربية السعودية باستخدام برمجية خلفية غير معروفة سابقًا تُسمى MarsSnake. يمتد نشاطها لسنوات عديدة، مما يُظهر اهتمامًا مستمرًا بهذا الهدف تحديدًا.

التصيد الاحتيالي مع لمسة جديدة: تذاكر الطيران كطُعم

تعتمد طريقة تسلل المجموعة بشكل كبير على رسائل التصيد الإلكتروني الموجهة. غالبًا ما تتضمن هذه الرسائل تذاكر طيران كطُعم لإغراء الضحايا بفتح مرفقات تهديدية. تستهدف هذه الرسائل بشكل رئيسي المنظمات الحكومية في آسيا وأفريقيا والشرق الأوسط. استخدام المهاجمين لطُعم الطيران يجعل محاولات التصيد الخاصة بهم مقنعة ومُصممة خصيصًا.

ترسانة البرامج الضارة المعروفة والهويات المتداخلة

تتميز هجمات UnsolicitedBooker بنشر العديد من الأبواب الخلفية المعروفة، بما في ذلك:

  • تشينوكسي
  • ديدرات
  • اللبلاب السام
  • بيرات

ترتبط أدوات البرمجيات الخبيثة هذه عادةً بمجموعات تجسس إلكتروني صينية. علاوة على ذلك، يشترك UnsolicitedBooker في خصائص مع مجموعة أخرى تُدعى Space Pirates ومجموعة مجهولة استخدمت برنامجًا خلفيًا يُسمى Zardoor ضد منظمة إسلامية غير ربحية في المملكة العربية السعودية.

آخر تفاصيل الحملة: نشر الباب الخلفي MarsSnake

استهدفت أحدث حملة، بتاريخ يناير ٢٠٢٥، المؤسسة السعودية نفسها. تضمن الهجوم رسالة بريد إلكتروني احتيالية تنتحل صفة الخطوط الجوية العربية السعودية، مرفق بها حجز رحلة. تتضمن التفاصيل الرئيسية ما يلي:

  • المرفق : مستند Microsoft Word مُقنع على شكل تذكرة طيران
  • أصل تذكرة الطعم : تم تعديله من ملف PDF متاح للعامة على موقع مشاركة الأبحاث الأكاديمية
  • عملية العدوى : يؤدي فتح مستند Word إلى تشغيل ماكرو VBA الذي يكتب ملفًا قابلاً للتنفيذ (smssdrvhost.exe) إلى نظام الضحية
  • وظيفة الملف القابل للتنفيذ : يعمل كمحمل لـ MarsSnake، الباب الخلفي المكتشف حديثًا
  • الاتصال : يتصل MarsSnake بخادم بعيد (contact.decenttoy.top) لتلقي الأوامر

    • تسلط محاولات الاختراق المتكررة في أعوام 2023 و2024 و2025 الضوء على الحملة المركزة التي تشنها منظمة UnsolicitedBooker ضد هذه المنظمة.

    مارس سنيك: أداة قوية في ترسانة بوكر غير المرغوب فيها

    MarsSnake هو باب خلفي متكامل الميزات يمنح المهاجمين سيطرةً كبيرةً على الأجهزة المصابة. يُمكّن من تنفيذ أوامر عشوائية ووصولٍ غير مقيدٍ للقراءة والكتابة للملفات. يُحافظ الباب الخلفي على اتصالٍ بخادم الأوامر والتحكم (C&C) لتلقي التعليمات. حتى الآن، يبدو أن MarsSnake يُستخدم حصريًا من قِبل UnsolicitedBooker، مما يجعله أداةً مميزةً لهذا المُهدّد.

    الشائع

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    33,387
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...