MarsSnake Backdoor
Експерти по информационна сигурност наскоро разкриха тактиките на свързана с Китай хакерска група, известна като UnsolicitedBooker. Този хакер е атакувал неназована международна организация в Саудитска Арабия, използвайки досега неизвестна задна врата, наречена MarsSnake. Активността им обхваща няколко години, което показва устойчив интерес към тази конкретна цел.
Съдържание
Spear-phishing с обрат: Самолетни билети като стръв
Методът за проникване на групата разчита до голяма степен на фишинг имейли. Тези имейли често включват самолетни билети като примамка, за да привлекат жертвите да отворят заплашителни прикачени файлове. Целите са предимно правителствени организации в Азия, Африка и Близкия изток. Използването на примамки, свързани с полети, от страна на нападателите прави фишинг опитите им особено убедителни и целенасочени.
Арсенал от известен зловреден софтуер и припокриващи се самоличности
Атаките на UnsolicitedBooker се характеризират с внедряването на няколко добре познати задни врати, включително:
- Чинокси
- DeedRAT
- Отровен бръшлян
- BeRAT
Тези инструменти за зловреден софтуер обикновено са свързани с китайски групи за кибершпионаж. Освен това, UnsolicitedBooker споделя характеристики с друг клъстер, наречен Space Pirates, и неидентифицирана група, която използва задна вратичка, наречена Zardoor, срещу ислямска организация с нестопанска цел в Саудитска Арабия.
Последна разбивка на кампанията: Разгръщане на задната вратичка на MarsSnake
Най-скорошната кампания, датирана от януари 2025 г., беше насочена към същата организация в Саудитска Арабия. Атаката включваше фишинг имейл, представящ се за Saudia Airlines с прикачен файл за резервация на полет. Ключови подробности включват:
- Прикаченият файл : Документ на Microsoft Word, прикрит като самолетен билет
- Произход на билета за примамка : Модифициран от публично достъпен PDF файл на уебсайта за споделяне на изследвания на Academia
- Процес на заразяване : Отварянето на Word документ задейства VBA макрос, който записва изпълним файл (smssdrvhost.exe) в системата на жертвата.
- Функция на изпълнимия файл : Действа като зареждащ файл за MarsSnake, новооткритата задна врата.
Многократните опити за проникване през 2023, 2024 и 2025 г. подчертават целенасочената кампания на UnsolicitedBooker срещу тази организация.
MarsSnake: Мощен инструмент в арсенала на UnsolicitedBooker
MarsSnake е пълнофункционална задна вратичка, която дава на атакуващите значителен контрол върху заразените машини. Тя позволява изпълнението на произволни команди и неограничен достъп за четене/запис на файлове. Задната вратичка поддържа връзка с команден и контролен (C&C) сървър, за да получава инструкции. Досега MarsSnake изглежда се използва изключително от UnsolicitedBooker, което го маркира като сигнатурен инструмент на този злонамерен персонаж.
