MarsSnake-takaovi

Tietoturva-asiantuntijat ovat äskettäin paljastaneet Kiina-liittoutuneen hakkeriryhmän nimeltä UnsolicitedBooker taktiikat. Tämä uhkatoimija kohdisti iskun nimeämättömään kansainväliseen organisaatioon Saudi-Arabiassa käyttämällä aiemmin tuntematonta MarsSnake-nimistä takaporttia. Heidän toimintansa kestää useita vuosia, mikä osoittaa jatkuvaa kiinnostusta tätä tiettyä kohdetta kohtaan.

Keihäshuijaus twistillä: Lentoliput syöttinä

Ryhmän tunkeutumismenetelmä perustuu vahvasti spekulatiivisiin tietojenkalasteluviesteihin. Nämä sähköpostit sisältävät usein lentolippuja houkutuskeinoina, joilla houkutellaan uhreja avaamaan uhkaavia liitteitä. Kohteina ovat pääasiassa valtiolliset organisaatiot Aasiassa, Afrikassa ja Lähi-idässä. Hyökkääjien käyttämät lentoihin liittyvät houkuttimet tekevät heidän tietojenkalasteluyrityksistään erityisen vakuuttavia ja räätälöityjä.

Tunnettujen haittaohjelmien arsenaali ja päällekkäiset identiteetit

UnsolicitedBookerin hyökkäyksille on ominaista useiden tunnettujen takaporttien käyttöönotto, mukaan lukien:

• Chinoxy
• DeedRAT
• Myrkkymuratti
• BeRAT

Nämä haittaohjelmatyökalut yhdistetään yleisesti kiinalaisiin kybervakoiluryhmiin. Lisäksi UnsolicitedBookerilla on yhteisiä piirteitä toisen Space Piratesin ryppään ja tunnistamattoman ryhmän kanssa, joka käytti Zardoor-nimistä takaovea islamilaista voittoa tavoittelematonta järjestöä vastaan Saudi-Arabiassa.

Kampanjan viimeisin erittely: MarsSnake-takaportin käyttöönotto

Viimeisin kampanja, tammikuussa 2025, kohdistui samaan saudiarabialaiseen organisaatioon. Hyökkäyksessä käytettiin tietojenkalasteluviestiä, jossa Saudia Airlinesin edustajana esiintyi sähköposti, johon oli liitetty lentovaraustiedot. Keskeisiä tietoja ovat:

• Liite : Lentolipuksi naamioitu Microsoft Word -dokumentti
• Houkutelulipun alkuperä : Muokattu Academian tutkimussivustolla julkisesti saatavilla olevasta PDF-tiedostosta
• Tartuntaprosessi : Word-asiakirjan avaaminen laukaisee VBA-makron, joka kirjoittaa suoritettavan tiedoston (smssdrvhost.exe) uhrin järjestelmään.
• Suoritettavan tiedoston toiminto : Toimii lataajana MarsSnakelle, äskettäin löydetylle takaportille
• Viestintä : MarsSnake muodostaa yhteyden etäpalvelimeen (contact.decenttoy.top) vastaanottaakseen komentoja

Toistuvat tunkeutumisyritykset vuosina 2023, 2024 ja 2025 korostavat UnsolicitedBookerin kohdennettua kampanjaa tätä organisaatiota vastaan.

MarsSnake: Tehokas työkalu UnsolicitedBooker’s Arsenalissa

MarsSnake on täysin varusteltu takaportti, joka antaa hyökkääjille merkittävän hallinnan tartunnan saaneista koneista. Se mahdollistaa mielivaltaisten komentojen suorittamisen ja rajoittamattoman tiedostojen luku- ja kirjoitusoikeuden. Takaportti pitää yhteyttä komento- ja hallintapalvelimeen (C&C) ohjeiden vastaanottamiseksi. Tähän mennessä näyttää siltä, että MarsSnakea käyttää yksinomaan UnsolicitedBooker, mikä merkitsee sitä tämän uhkatoimijan tunnusmerkistötyökaluksi.