הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) דלת אחורית של MarsSnake

דלת אחורית של MarsSnake

עד Mezo ב-איום מתמשך מתקדם (APT), דלתות אחוריות
לתרגם ל:

מומחי אבטחת מידע חשפו לאחרונה את הטקטיקות של קבוצת פריצה המזוהה עם סין, המכונה UnsolicitedBooker. גורם איום זה כיוון ארגון בינלאומי אנונימי בערב הסעודית באמצעות דלת אחורית שלא הייתה מוכרת קודם לכן בשם MarsSnake. פעילותם משתרעת על פני מספר שנים, ומראה עניין מתמשך במטרה הספציפית הזו.

פישינג עם טוויסט: כרטיסי טיסה כפיתיון

שיטת החדירה של הקבוצה מסתמכת במידה רבה על דוא"ל מסוג "חנית פישינג". דוא"ל זה כולל לעתים קרובות כרטיסי טיסה כפיתיון שמטרתו לפתות קורבנות לפתוח קבצים מצורפים מאיימים. המטרות הן בעיקר ארגונים ממשלתיים ברחבי אסיה, אפריקה והמזרח התיכון. השימוש של התוקפים בפיתויים הקשורים לטיסות הופך את ניסיונות הפישינג שלהם למשתכנעים ומותאמים אישית במיוחד.

ארסנל תוכנות זדוניות ידועות וזהויות חופפות

התקפות של UnsolicitedBooker מאופיינות בפריסת מספר דלתות אחוריות ידועות, ביניהן:

  • צ'ינוקסי
  • דיד-ראט
  • קיסוס רעיל
  • בראט

כלי תוכנה זדונית אלה מקושרים בדרך כלל לקבוצות ריגול סייבר סיניות. יתר על כן, UnsolicitedBooker חולקת מאפיינים עם אשכול אחר בשם Space Pirates וקבוצה לא מזוהה שהשתמשה בדלת אחורית בשם Zardoor נגד עמותה אסלאמית ללא מטרות רווח בערב הסעודית.

פירוט הקמפיין האחרון: פריסת הדלת האחורית של MarsSnake

הקמפיין האחרון, מינואר 2025, כוון נגד אותו ארגון סעודי. ההתקפה כללה הודעת פישינג שהתחזה לחברת התעופה סעודיה עם קובץ מצורף להזמנת טיסה. פרטים עיקריים כוללים:

  • הקובץ המצורף : מסמך Microsoft Word במסווה של כרטיס טיסה
  • מקור כרטיס הפיתיון : שונה מקובץ PDF הזמין לציבור באתר שיתוף המחקר של Academia
  • תהליך ההדבקה : פתיחת מסמך Word מפעילה מאקרו VBA שכותב קובץ הפעלה (smssdrvhost.exe) למערכת של הקורבן.
  • תפקיד הקובץ הניתן להרצה : משמש כטוען עבור MarsSnake, הדלת האחורית שהתגלתה לאחרונה
  • תקשורת : MarsSnake מתחבר לשרת מרוחק (contact.decenttoy.top) כדי לקבל פקודות.

    • ניסיונות חדירה חוזרים ונשנים בשנים 2023, 2024 ו-2025 מדגישים את הקמפיין הממוקד של UnsolicitedBooker נגד ארגון זה.

    MarsSnake: כלי רב עוצמה בארסנל של UnsolicitedBooker

    MarsSnake היא דלת אחורית מלאה המעניקה לתוקפים שליטה משמעותית על מכונות נגועות. היא מאפשרת ביצוע פקודות שרירותיות וגישה בלתי מוגבלת לקריאה/כתיבה של קבצים. הדלת האחורית שומרת על קשר עם שרת פקודה ובקרה (C&C) כדי לקבל הוראות. עד כה, נראה כי MarsSnake משמש באופן בלעדי את UnsolicitedBooker, מה שמסמן אותו ככלי חתימה של גורם איום זה.

    מגמות

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    33,387
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...