Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) MarsSnake Stražnja vrata

MarsSnake Stražnja vrata

Do Mezo. Napredna trajna prijetnja (APT), Stražnja vrata. godine
Prevedi na:

Stručnjaci za infosec nedavno su otkrili taktike hakerske skupine povezane s Kinom, poznate kao UnsolicitedBooker. Ovaj napadač ciljao je neimenovanu međunarodnu organizaciju u Saudijskoj Arabiji koristeći prethodno nepoznati backdoor pod nazivom MarsSnake. Njihova aktivnost traje već nekoliko godina, što pokazuje stalni interes za ovu konkretnu metu.

Spear-phishing s preokretom: Avionske karte kao mamac

Metoda infiltracije grupe uvelike se oslanja na spear-phishing e-poruke. Ove e-poruke često uključuju avionske karte kao mamce kako bi namamile žrtve na otvaranje prijetećih privitaka. Mete su prvenstveno vladine organizacije diljem Azije, Afrike i Bliskog istoka. Korištenje mamaca povezanih s letovima od strane napadača čini njihove phishing pokušaje posebno uvjerljivima i prilagođenima.

Poznati arsenal zlonamjernog softvera i preklapajući identiteti

Napadi UnsolicitedBookera obilježeni su postavljanjem nekoliko poznatih stražnjih vrata, uključujući:

  • Činoksi
  • DeedRAT
  • Otrovni bršljan
  • BeRAT

Ovi zlonamjerni alati obično se povezuju s kineskim skupinama za kibernetičku špijunažu. Štoviše, UnsolicitedBooker dijeli karakteristike s drugim klasterom pod nazivom Space Pirates i neidentificiranom skupinom koja je koristila stražnja vrata pod nazivom Zardoor protiv islamske neprofitne organizacije u Saudijskoj Arabiji.

Najnoviji pregled kampanje: Implementacija MarsSnake Backdoor-a

Najnovija kampanja, iz siječnja 2025., bila je usmjerena na istu saudijsko-arabijsku organizaciju. Napad je uključivao phishing e-poruku u kojoj se lažno predstavlja Saudia Airlines s privitkom za rezervaciju leta. Ključni detalji uključuju:

  • Prilog : Microsoft Word dokument prerušen u avionsku kartu
  • Podrijetlo karte za mamce : Izmijenjeno iz javno dostupnog PDF-a na web stranici za dijeljenje istraživanja Academia
  • Proces zaraze : Otvaranje Word dokumenta pokreće VBA makro koji zapisuje izvršnu datoteku (smssdrvhost.exe) na sustav žrtve.
  • Funkcija izvršne datoteke : Djeluje kao program za učitavanje za MarsSnake, novootkriveni backdoor.
  • Komunikacija : MarsSnake se povezuje s udaljenim poslužiteljem (contact.decenttoy.top) kako bi primao naredbe

Ponovljeni pokušaji upada 2023., 2024. i 2025. godine ističu UnsolicitedBookerovu usmjerenu kampanju protiv ove organizacije.

MarsSnake: Moćan alat u arsenalu UnsolicitedBookera

MarsSnake je potpuno opremljen backdoor koji napadačima daje značajnu kontrolu nad zaraženim računalima. Omogućuje izvršavanje proizvoljnih naredbi i neograničen pristup čitanju/pisanju datoteka. Backdoor održava kontakt s C&C (command-and-control) poslužiteljem kako bi primao upute. Zasad se čini da MarsSnake isključivo koristi UnsolicitedBooker, što ga označava kao alat za potpis ovog aktera prijetnje.

U trendu

Nagledanije

Učitavam...