MarsSnake Bagdør
Infosec-eksperter har for nylig afsløret taktikkerne hos en Kina-tilknyttet hackergruppe kendt som UnsolicitedBooker. Denne trusselaktør målrettede en unavngiven international organisation i Saudi-Arabien ved hjælp af en hidtil ukendt bagdør kaldet MarsSnake. Deres aktivitet strækker sig over flere år og viser en vedvarende interesse for dette specifikke mål.
Indholdsfortegnelse
Spear-phishing med et twist: Flybilletter som lokkemad
Gruppens infiltrationsmetode er i høj grad afhængig af spear-phishing-e-mails. Disse e-mails indeholder ofte flybilletter som lokkemidler for at lokke ofrene til at åbne truende vedhæftede filer. Målene er primært statslige organisationer i Asien, Afrika og Mellemøsten. Angribernes brug af flyrelaterede lokkemidler gør deres phishing-forsøg særligt overbevisende og skræddersyede.
Kendt malware-arsenal og overlappende identiteter
UnsolicitedBookers angreb er kendetegnet ved implementeringen af flere velkendte bagdøre, herunder:
- Chinoxy
- DeedRAT
- Giftsumak
- BeRAT
Disse malware-værktøjer er ofte forbundet med kinesiske cyberspionagegrupper. Derudover deler UnsolicitedBooker karakteristika med en anden klynge ved navn Space Pirates og en uidentificeret gruppe, der brugte en bagdør kaldet Zardoor mod en islamisk nonprofitorganisation i Saudi-Arabien.
Seneste kampagneoversigt: MarsSnake-bagdørsimplementeringen
Den seneste kampagne, dateret januar 2025, var rettet mod den samme saudiarabiske organisation. Angrebet involverede en phishing-e-mail, der udgav sig for at være Saudia Airlines med en vedhæftet fil til en flybooking. Vigtige detaljer inkluderer:
- Vedhæftet fil : Et Microsoft Word-dokument forklædt som en flybillet
- Oprindelsen af lokkefuglebilletten : Ændret fra en offentligt tilgængelig PDF på Academias forskningsdelingswebsted
- Infektionsproces : Åbning af Word-dokumentet udløser en VBA-makro, der skriver en eksekverbar fil (smssdrvhost.exe) til offerets system.
- Funktion af den eksekverbare fil : Fungerer som en loader for MarsSnake, den nyopdagede bagdør
- Kommunikation : MarsSnake opretter forbindelse til en fjernserver (contact.decenttoy.top) for at modtage kommandoer
Gentagne indtrængningsforsøg i 2023, 2024 og 2025 fremhæver UnsolicitedBookers fokuserede kampagne mod denne organisation.
MarsSnake: Et kraftfuldt værktøj i UnsolicitedBookers arsenal
MarsSnake er en fuldt udstyret bagdør, der giver angribere betydelig kontrol over inficerede maskiner. Den muliggør udførelse af vilkårlige kommandoer og ubegrænset adgang til læsning/skrivning af filer. Bagdøren opretholder kontakt med en kommando-og-kontrol-server (C&C) for at modtage instruktioner. Indtil videre ser det ud til, at MarsSnake udelukkende bruges af UnsolicitedBooker, hvilket markerer den som et signaturværktøj for denne trusselsaktør.
