Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) MarsSnake Backdoor

MarsSnake Backdoor

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Backdoors
Μετάφραση σε:

Ειδικοί στην Infosec αποκάλυψαν πρόσφατα τις τακτικές μιας ομάδας hacking που συνδέεται με την Κίνα, γνωστής ως UnsolicitedBooker. Αυτός ο απειλητικός παράγοντας στόχευσε έναν ανώνυμο διεθνή οργανισμό στη Σαουδική Αραβία χρησιμοποιώντας ένα προηγουμένως άγνωστο backdoor που ονομάζεται MarsSnake. Η δραστηριότητά τους εκτείνεται σε πολλά χρόνια, γεγονός που δείχνει ένα διαρκές ενδιαφέρον για αυτόν τον συγκεκριμένο στόχο.

Ψάρεμα με δόρυ με μια ανατροπή: Αεροπορικά εισιτήρια ως δόλωμα

Η μέθοδος διείσδυσης της ομάδας βασίζεται σε μεγάλο βαθμό σε email spear-phishing. Αυτά τα email συχνά περιλαμβάνουν αεροπορικά εισιτήρια ως δολώματα για να παρασύρουν τα θύματα να ανοίξουν απειλητικά συνημμένα. Οι στόχοι είναι κυρίως κυβερνητικοί οργανισμοί σε όλη την Ασία, την Αφρική και τη Μέση Ανατολή. Η χρήση δολωμάτων που σχετίζονται με πτήσεις από τους επιτιθέμενους καθιστά τις απόπειρες phishing ιδιαίτερα πειστικές και προσαρμοσμένες.

Γνωστό Οπλοστάσιο Κακόβουλου Λογισμικού και Επικαλυπτόμενες Ταυτότητες

Οι επιθέσεις του UnsolicitedBooker χαρακτηρίζονται από την ανάπτυξη αρκετών γνωστών backdoors, όπως:

  • Τσινόξι
  • DeedRAT
  • Δηλητηριώδης κισσός
  • BeRAT

Αυτά τα εργαλεία κακόβουλου λογισμικού συνδέονται συνήθως με κινεζικές ομάδες κυβερνοκατασκοπείας. Επιπλέον, το UnsolicitedBooker μοιράζεται χαρακτηριστικά με μια άλλη ομάδα που ονομάζεται Space Pirates και μια άγνωστη ομάδα που χρησιμοποίησε μια κερκόπορτα που ονομάζεται Zardoor εναντίον ενός ισλαμικού μη κερδοσκοπικού οργανισμού στη Σαουδική Αραβία.

Τελευταία ανάλυση καμπάνιας: Η ανάπτυξη του Backdoor του MarsSnake

Η πιο πρόσφατη εκστρατεία, με ημερομηνία Ιανουάριος 2025, στόχευε τον ίδιο οργανισμό της Σαουδικής Αραβίας. Η επίθεση αφορούσε ένα email ηλεκτρονικού "ψαρέματος" (phishing) που πλαστογράφησε την Saudia Airlines με συνημμένο σε κράτηση πτήσης. Βασικές λεπτομέρειες περιλαμβάνουν:

  • Το συνημμένο : Ένα έγγραφο του Microsoft Word μεταμφιεσμένο σε αεροπορικό εισιτήριο
  • Προέλευση του δολώματος : Τροποποιημένο από ένα δημόσια διαθέσιμο PDF στον ιστότοπο κοινής χρήσης έρευνας της Academia
  • Διαδικασία μόλυνσης : Το άνοιγμα του εγγράφου Word ενεργοποιεί μια μακροεντολή VBA που γράφει ένα εκτελέσιμο αρχείο (smssdrvhost.exe) στο σύστημα του θύματος.
  • Λειτουργία του εκτελέσιμου αρχείου : Λειτουργεί ως φορτωτής για το MarsSnake, το πρόσφατα ανακαλυφθέν backdoor
  • Επικοινωνία : Το MarsSnake συνδέεται με έναν απομακρυσμένο διακομιστή (contact.decenttoy.top) για να λαμβάνει εντολές

    • Οι επανειλημμένες απόπειρες εισβολής το 2023, το 2024 και το 2025 υπογραμμίζουν την στοχευμένη εκστρατεία του UnsolicitedBooker εναντίον αυτού του οργανισμού.

    MarsSnake: Ένα ισχυρό εργαλείο στο οπλοστάσιο του UnsolicitedBooker

    Το MarsSnake είναι ένα πλήρως εξοπλισμένο backdoor που δίνει στους εισβολείς σημαντικό έλεγχο σε μολυσμένα μηχανήματα. Επιτρέπει την εκτέλεση αυθαίρετων εντολών και απεριόριστη πρόσβαση ανάγνωσης/εγγραφής αρχείων. Το backdoor διατηρεί επαφή με έναν διακομιστή εντολών και ελέγχου (C&C) για τη λήψη οδηγιών. Μέχρι στιγμής, το MarsSnake φαίνεται να χρησιμοποιείται αποκλειστικά από την UnsolicitedBooker, γεγονός που το καθιστά ένα εργαλείο υπογραφής αυτού του απειλητικού παράγοντα.

    Τάσεις

    Περισσότερες εμφανίσεις

    Κακόβουλο λογισμικό

    Phishing, Ανεπιθύμητη αλληλογραφία
    33,387
    Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
    Φόρτωση...