Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) MarsSnake Backdoor

MarsSnake Backdoor

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Zadní vrátka
Přeložit do:

Odborníci na informační bezpečnost nedávno odhalili taktiky hackerské skupiny UnsolicitedBooker, která je napojena na Čínu. Tato skupina útočníků se zaměřila na nejmenovanou mezinárodní organizaci v Saúdské Arábii pomocí dříve neznámého backdooru s názvem MarsSnake. Jejich aktivita trvá již několik let, což ukazuje na trvalý zájem o tento konkrétní cíl.

Spear-phishing s trochou twistu: Letenky jako návnada

Infiltrační metoda této skupiny se silně spoléhá na phishingové e-maily. Tyto e-maily často obsahují letenky jako návnadu, která má oběti nalákat k otevření výhružných příloh. Cílem jsou především vládní organizace v Asii, Africe a na Středním východě. Použití návnad souvisejících s lety útočníky činí jejich phishingové pokusy obzvláště přesvědčivé a cílené.

Arsenál známého malwaru a překrývající se identity

Útoky UnsolicitedBooker se vyznačují nasazením několika známých zadních vrátek, včetně:

  • Čínoxy
  • DeedRAT
  • Jedovatý břečťan
  • BeRAT

Tyto malwarové nástroje jsou běžně spojovány s čínskými skupinami pro kyberšpionáž. UnsolicitedBooker navíc sdílí charakteristiky s dalším klastrem s názvem Space Pirates a neidentifikovanou skupinou, která použila zadní vrátka s názvem Zardoor proti islámské neziskové organizaci v Saúdské Arábii.

Nejnovější rozbor kampaně: Nasazení backdooru MarsSnake

Nejnovější kampaň z ledna 2025 se zaměřila na stejnou saúdskoarabskou organizaci. Útok zahrnoval phishingový e-mail vydávající se za Saudia Airlines s přílohou pro rezervaci letu. Mezi klíčové podrobnosti patří:

  • Příloha : Dokument aplikace Microsoft Word maskovaný jako letenka
  • Původ návnadového lístku : Upraveno z veřejně dostupného PDF na webových stránkách Academia pro sdílení výzkumu
  • Proces infekce : Otevření dokumentu Word spustí makro VBA, které zapíše spustitelný soubor (smssdrvhost.exe) do systému oběti.
  • Funkce spustitelného souboru : Funguje jako zavaděč pro MarsSnake, nově objevený backdoor.
  • Komunikace : MarsSnake se připojuje ke vzdálenému serveru (contact.decenttoy.top) pro příjem příkazů.

    • Opakované pokusy o vniknutí v letech 2023, 2024 a 2025 zdůrazňují cílenou kampaň UnsolicitedBooker proti této organizaci.

    MarsSnake: Mocný nástroj v arzenálu UnsolicitedBooker

    MarsSnake je plně vybavený backdoor, který útočníkům poskytuje značnou kontrolu nad infikovanými počítači. Umožňuje provádění libovolných příkazů a neomezený přístup ke čtení/zápisu souborů. Backdoor udržuje kontakt s velitelským a řídícím (C&C) serverem za účelem přijímání instrukcí. Zdá se, že MarsSnake je zatím používán výhradně UnsolicitedBooker, což jej označuje za podpisový nástroj tohoto aktéra hrozby.

    Trendy

    Nejvíce shlédnuto

    Načítání...