Porta del darrere de MarsSnake

El Mezo el Amenaça persistent avançada (APT), Portes del darrere

Traduir a:

Experts en seguretat de la informació han revelat recentment les tàctiques d'un grup de pirates informàtics alineat amb la Xina conegut com UnsolicitedBooker. Aquest actor d'amenaces va atacar una organització internacional anònima a l'Aràbia Saudita utilitzant una porta del darrere prèviament desconeguda anomenada MarsSnake. La seva activitat abasta diversos anys, cosa que demostra un interès sostingut en aquest objectiu en particular.

Taula de continguts

Spear-phishing amb un toc especial: bitllets d’avió com a esquer

El mètode d'infiltració del grup es basa en gran mesura en correus electrònics de spear-phishing. Aquests correus electrònics sovint inclouen bitllets d'avió com a esquers per atraure les víctimes perquè obrin fitxers adjunts amenaçadors. Els objectius són principalment organitzacions governamentals d'Àsia, Àfrica i l'Orient Mitjà. L'ús d'esquers relacionats amb els vols per part dels atacants fa que els seus intents de phishing siguin particularment convincents i personalitzats.

Arsenal de programari maliciós conegut i identitats superposades

Els atacs d'UnsolicitedBooker es caracteritzen pel desplegament de diverses portes del darrere conegudes, com ara:

Chinoxi
DeedRAT
Heura verinosa
BeRAT

Aquestes eines de programari maliciós solen estar vinculades a grups de ciberespionatge xinesos. A més, UnsolicitedBooker comparteix característiques amb un altre clúster anomenat Space Pirates i un grup no identificat que va utilitzar una porta del darrere anomenada Zardoor contra una organització islàmica sense ànim de lucre a l'Aràbia Saudita.

Últim desglossament de la campanya: el desplegament de la porta del darrere de MarsSnake

La campanya més recent, datada del gener de 2025, tenia com a objectiu la mateixa organització saudita. L'atac va incloure un correu electrònic de phishing que suplantava la identitat de Saudia Airlines amb un fitxer adjunt de reserva de vol. Els detalls clau inclouen:

El fitxer adjunt : un document de Microsoft Word disfressat de bitllet d'avió
Origen del tiquet esquer : modificat a partir d'un PDF disponible públicament al lloc web de compartició de recerca d'Acadèmia
Procés d'infecció : En obrir el document de Word, s'activa una macro VBA que escriu un fitxer executable (smssdrvhost.exe) al sistema de la víctima.
Funció de l'executable : Actua com a carregador de MarsSnake, la porta del darrere recentment descoberta.
Comunicació : MarsSnake es connecta a un servidor remot (contact.decenttoy.top) per rebre ordres.

Els repetits intents d'intrusió el 2023, 2024 i 2025 destaquen la campanya específica d'UnsolicitedBooker contra aquesta organització.

MarsSnake: una eina poderosa a l’arsenal de Booker no sol·licitat

MarsSnake és una porta del darrere amb totes les funcions que dóna als atacants un control significatiu sobre les màquines infectades. Permet l'execució d'ordres arbitràries i accés sense restriccions de lectura/escriptura a fitxers. La porta del darrere manté el contacte amb un servidor de comandament i control (C&C) per rebre instruccions. Fins ara, sembla que MarsSnake l'utilitza exclusivament UnsolicitedBooker, cosa que el marca com una eina característica d'aquest actor d'amenaces.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió

Porta del darrere de MarsSnake

Spear-phishing amb un toc especial: bitllets d’avió com a esquer

Arsenal de programari maliciós conegut i identitats superposades

Últim desglossament de la campanya: el desplegament de la porta del darrere de MarsSnake

MarsSnake: una eina poderosa a l’arsenal de Booker no sol·licitat

Enviar Comentari

Tendència

TerraStealerV2

Penadclub.com

PDFast

Més vist

Programari maliciós

Estafa de correu electrònic "Geek Squad".

Pop-Ups "El teu iPhone ha estat piratejat".