MarsSnake Backdoor
इन्फोसेक विशेषज्ञों ने हाल ही में चीन से जुड़े एक हैकिंग समूह की रणनीति का खुलासा किया है जिसे अनसोलिसिटेडबुकर के नाम से जाना जाता है। इस खतरनाक अभिनेता ने मार्सनेक नामक पहले से अज्ञात बैकडोर का उपयोग करके सऊदी अरब में एक अनाम अंतरराष्ट्रीय संगठन को निशाना बनाया। उनकी गतिविधि कई वर्षों तक फैली हुई है, जो इस विशेष लक्ष्य में निरंतर रुचि दिखाती है।
विषयसूची
स्पीयर-फ़िशिंग का नया तरीका: फ़्लाइट टिकट को प्रलोभन के रूप में इस्तेमाल करना
समूह की घुसपैठ विधि स्पीयर-फ़िशिंग ईमेल पर बहुत ज़्यादा निर्भर करती है। इन ईमेल में अक्सर पीड़ितों को धमकी भरे अटैचमेंट खोलने के लिए लुभाने के लिए फ़्लाइट टिकट शामिल होते हैं। लक्ष्य मुख्य रूप से एशिया, अफ़्रीका और मध्य पूर्व में सरकारी संगठन होते हैं। हमलावरों द्वारा फ़्लाइट से संबंधित लालच का उपयोग उनके फ़िशिंग प्रयासों को विशेष रूप से विश्वसनीय और अनुकूलित बनाता है।
ज्ञात मैलवेयर शस्त्रागार और ओवरलैपिंग पहचान
अनसोलिसिटेडबुकर के हमलों में कई जाने-माने बैकडोर का इस्तेमाल किया जाता है, जिनमें शामिल हैं:
- चिनोक्सि
- डीडआरएटी
- बिच्छु का पौधा
- बेराट
ये मैलवेयर उपकरण आम तौर पर चीनी साइबर जासूसी समूहों से जुड़े होते हैं। इसके अलावा, अनसोलिसिटेडबुकर स्पेस पाइरेट्स नामक एक अन्य समूह और एक अज्ञात समूह के साथ विशेषताओं को साझा करता है, जिसने सऊदी अरब में एक इस्लामी गैर-लाभकारी संगठन के खिलाफ जरदूर नामक एक बैकडोर का इस्तेमाल किया था।
नवीनतम अभियान विवरण: मार्सनेक बैकडोर तैनाती
जनवरी 2025 में शुरू किए गए सबसे हालिया अभियान में उसी सऊदी अरब के संगठन को निशाना बनाया गया। इस हमले में सऊदी एयरलाइंस के नाम पर एक फ़िशिंग ईमेल भेजा गया था, जिसमें फ़्लाइट बुकिंग अटैचमेंट था। मुख्य विवरण में शामिल हैं:
- संलग्नक : फ्लाइट टिकट के रूप में प्रच्छन्न एक माइक्रोसॉफ्ट वर्ड दस्तावेज़
- डिकॉय टिकट की उत्पत्ति : एकेडेमिया रिसर्च-शेयरिंग वेबसाइट पर सार्वजनिक रूप से उपलब्ध पीडीएफ से संशोधित
- संक्रमण प्रक्रिया : Word दस्तावेज़ को खोलने पर एक VBA मैक्रो सक्रिय होता है जो पीड़ित के सिस्टम पर एक निष्पादन योग्य फ़ाइल (smssdrvhost.exe) लिखता है
- निष्पादनयोग्य का कार्य : मार्सनेक, नव खोजे गए बैकडोर के लिए लोडर के रूप में कार्य करता है
- संचार : MarsSnake आदेश प्राप्त करने के लिए एक दूरस्थ सर्वर (contact.decenttoy.top) से जुड़ता है
2023, 2024 और 2025 में बार-बार घुसपैठ के प्रयास इस संगठन के खिलाफ अनसोलिसिटेडबुकर्स के केंद्रित अभियान को उजागर करते हैं।
मार्स स्नेक: अनसॉलिसिटेड बुकर्स शस्त्रागार में एक शक्तिशाली उपकरण
मार्सस्नेक एक पूर्ण विशेषताओं वाला बैकडोर है जो हमलावरों को संक्रमित मशीनों पर महत्वपूर्ण नियंत्रण देता है। यह मनमाने आदेशों के निष्पादन और अप्रतिबंधित फ़ाइल पढ़ने/लिखने की पहुँच को सक्षम बनाता है। बैकडोर निर्देश प्राप्त करने के लिए कमांड-एंड-कंट्रोल (C&C) सर्वर के साथ संपर्क बनाए रखता है। अब तक, मार्सस्नेक का उपयोग विशेष रूप से अनसोलिसिटेडबुकर द्वारा किया जाता है, जो इसे इस खतरे वाले अभिनेता के हस्ताक्षर उपकरण के रूप में चिह्नित करता है।
