MarsSnake'i tagauks
Infoturbe eksperdid paljastasid hiljuti Hiinaga seotud häkkerirühmituse UnsolicitedBooker taktika. See ründaja võttis sihikule Saudi Araabias asuva nimetu rahvusvahelise organisatsiooni, kasutades seni tundmatut tagaust nimega MarsSnake. Nende tegevus kestab mitu aastat, mis näitab püsivat huvi selle konkreetse sihtmärgi vastu.
Sisukord
Odapüük uudse keerdkäiguga: lennupiletid söödaks
Grupi infiltratsioonimeetod tugineb suuresti õngitsuskirjadele. Need kirjad sisaldavad sageli lennupileteid peibutisena, et meelitada ohvreid avama ähvardavaid manuseid. Sihtmärkideks on peamiselt valitsusasutused Aasias, Aafrikas ja Lähis-Idas. Ründajate lennundusalaste peibutiste kasutamine muudab nende õngitsuskatsed eriti veenvaks ja sihtotstarbeliseks.
Teadaolev pahavara arsenal ja kattuvad identiteedid
Soovimatute Bookeri rünnakute puhul kasutatakse mitmeid tuntud tagauksi, sealhulgas:
- Chinoxy
- DeedRAT
- Mürgine luuderohi
- BeRAT
Neid pahavaratööriistu seostatakse tavaliselt Hiina küberspionaažirühmitustega. Lisaks on UnsolicitedBookeril ühiseid jooni teise klastriga nimega Space Pirates ja tundmatu rühmitusega, mis kasutas tagaust nimega Zardoor Saudi Araabia islami mittetulundusühingu vastu.
Kampaania viimane analüüs: MarsSnake’i tagaukse juurutamine
Viimane kampaania, mis toimus jaanuaris 2025, oli suunatud sama Saudi Araabia organisatsiooni vastu. Rünnak hõlmas andmepüügikirja, mis teeskles Saudi Airlinesi nime ja millele oli lisatud lennubroneeringu manus. Peamised üksikasjad on järgmised:
- Manus : lennupiletiks maskeeritud Microsoft Wordi dokument
- Peibutuspileti päritolu : muudetud Academia uuringute jagamise veebisaidil avalikult kättesaadavast PDF-failist
- Nakatumisprotsessi : Wordi dokumendi avamine käivitab VBA makro, mis kirjutab ohvri süsteemi käivitatava faili (smssdrvhost.exe).
- Täitmisfaili funktsioon : toimib MarsSnake'i, äsja avastatud tagaukse, laadurina
- Suhtlus : MarsSnake loob ühenduse kaugserveriga (contact.decenttoy.top), et käske vastu võtta.
Korduvad sissetungikatsed aastatel 2023, 2024 ja 2025 toovad esile UnsolicitedBookeri sihipärase kampaania selle organisatsiooni vastu.
MarsSnake: võimas tööriist soovimatute raamatute arsenalis
MarsSnake on täisfunktsionaalne tagauks, mis annab ründajatele märkimisväärse kontrolli nakatunud masinate üle. See võimaldab suvaliste käskude täitmist ja piiramatut juurdepääsu failidele lugemiseks/kirjutamiseks. Tagauks hoiab ühendust käsklus- ja juhtimisserveriga (C&C), et saada juhiseid. Siiani näib, et MarsSnake'i kasutab ainult UnsolicitedBooker, mis tähistab seda selle ohu tegija signatuurtööriistana.
