قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) درِ پشتی MarsSnake

درِ پشتی MarsSnake

تا Mezo در تهدید مداوم پیشرفته (APT), درهای پشتی
ترجمه به:

کارشناسان امنیت اطلاعات (Infosec) اخیراً تاکتیک‌های یک گروه هکری وابسته به چین به نام UnsolicitedBooker را فاش کرده‌اند. این عامل تهدید با استفاده از یک درب پشتی ناشناخته به نام MarsSnake، یک سازمان بین‌المللی ناشناس در عربستان سعودی را هدف قرار داده است. فعالیت آنها چندین سال طول می‌کشد و نشان دهنده علاقه پایدار آنها به این هدف خاص است.

فیشینگ هدفمند با ترفندی جدید: بلیط هواپیما به عنوان طعمه

روش نفوذ این گروه به شدت به ایمیل‌های فیشینگ هدفمند متکی است. این ایمیل‌ها اغلب شامل بلیط‌های پرواز به عنوان طعمه برای فریب قربانیان جهت باز کردن پیوست‌های تهدیدآمیز هستند. اهداف در درجه اول سازمان‌های دولتی در سراسر آسیا، آفریقا و خاورمیانه هستند. استفاده مهاجمان از فریب‌های مرتبط با پرواز، تلاش‌های فیشینگ آنها را به طور ویژه‌ای قانع‌کننده و متناسب می‌کند.

زرادخانه بدافزارهای شناخته شده و هویت‌های همپوشانی

حملات UnsolicitedBooker با استقرار چندین درب پشتی شناخته شده، از جمله موارد زیر، مشخص می‌شود:

  • چینوکسی
  • دیدرات
  • پیچک سمی
  • بیرات

این ابزارهای بدافزاری معمولاً با گروه‌های جاسوسی سایبری چینی مرتبط هستند. علاوه بر این، UnsolicitedBooker ویژگی‌های مشترکی با خوشه دیگری به نام Space Pirates و یک گروه ناشناس دارد که از یک در پشتی به نام Zardoor علیه یک سازمان غیرانتفاعی اسلامی در عربستان سعودی استفاده کرد.

بررسی آخرین کمپین: استقرار درب پشتی MarsSnake

جدیدترین کمپین، به تاریخ ژانویه ۲۰۲۵، همان سازمان عربستان سعودی را هدف قرار داد. این حمله شامل یک ایمیل فیشینگ بود که خود را به جای خطوط هوایی عربستان سعودی جا می‌زد و ضمیمه‌ای برای رزرو پرواز داشت. جزئیات کلیدی عبارتند از:

  • پیوست : یک سند مایکروسافت ورد که به شکل بلیط هواپیما درآمده است
  • منشأ بلیط فریبنده : اصلاح‌شده از یک فایل PDF در دسترس عموم در وب‌سایت اشتراک‌گذاری تحقیقات آکادمیا
  • فرآیند آلودگی : باز کردن سند Word باعث اجرای یک ماکروی VBA می‌شود که یک فایل اجرایی (smssdrvhost.exe) را در سیستم قربانی می‌نویسد.
  • عملکرد فایل اجرایی : به عنوان یک بارگذار برای MarsSnake، بک‌در تازه کشف‌شده، عمل می‌کند.
  • ارتباطات : MarsSnake برای دریافت دستورات به یک سرور راه دور (contact.decenttoy.top) متصل می‌شود.

    • تلاش‌های مکرر برای نفوذ در سال‌های ۲۰۲۳، ۲۰۲۴ و ۲۰۲۵، کمپین متمرکز UnsolicitedBooker علیه این سازمان را برجسته می‌کند.

    MarsSnake: ابزاری قدرتمند در زرادخانه ناخواسته بوکر

    MarsSnake یک درِ پشتیِ کاملاً مجهز است که به مهاجمان کنترل قابل توجهی بر روی دستگاه‌های آلوده می‌دهد. این درِ پشتی امکان اجرای دستورات دلخواه و دسترسی نامحدود به خواندن/نوشتن فایل‌ها را فراهم می‌کند. این درِ پشتی برای دریافت دستورالعمل‌ها با یک سرور فرمان و کنترل (C&C) ارتباط برقرار می‌کند. تاکنون، به نظر می‌رسد MarsSnake منحصراً توسط UnsolicitedBooker مورد استفاده قرار می‌گیرد و آن را به عنوان ابزار امضای این عامل تهدید معرفی می‌کند.

    پرطرفدار

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    33,387
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...