MarsSnake hátsó ajtó

Infosec szakértők nemrégiben leleplezték egy Kínával együttműködő hackercsoport, az UnsolicitedBooker taktikáit. Ez a fenyegető szereplő egy meg nem nevezett nemzetközi szervezetet vett célba Szaúd-Arábiában egy korábban ismeretlen MarsSnake nevű hátsó ajtót használva. Tevékenységük több évre nyúlik vissza, ami tartós érdeklődést mutat e konkrét célpont iránt.

Lándzsás adathalászat egy csavarral: Repülőjegyek mint csali

A csoport beszivárgási módszere nagymértékben támaszkodik a célzott adathalász e-mailekre. Ezek az e-mailek gyakran repülőjegyeket tartalmaznak csapdaként, hogy az áldozatokat fenyegető mellékletek megnyitására csábítsák. A célpontok elsősorban ázsiai, afrikai és közel-keleti kormányzati szervezetek. A támadók repüléssel kapcsolatos csalik használata különösen meggyőzővé és célzottá teszi adathalász kísérleteiket.

Ismert kártevő-arzenál és átfedő identitások

A kéretlen Booker támadásait számos jól ismert hátsó ajtó telepítése jellemzi, beleértve:

• Chinoxy
• DeedRAT
• Mérges szömörce
• BeRAT

Ezeket a rosszindulatú programokat gyakran kínai kiberkémkedési csoportokhoz kötik. Ezenkívül az UnsolicitedBooker hasonló tulajdonságokkal rendelkezik egy másik, Space Pirates nevű klaszterrel és egy azonosítatlan csoporttal, amely egy Zardoor nevű hátsó ajtót használt egy szaúd-arábiai iszlám nonprofit szervezet ellen.

Legfrissebb kampánylebontás: A MarsSnake hátsó ajtós telepítése

A legutóbbi, 2025 januárjában indított kampány ugyanezt a szaúd-arábiai szervezetet célozta meg. A támadás során egy adathalász e-mailt küldtek, amely a Saudi Airlines nevében lépett fel, és egy repülőjegy-foglalási mellékletet csatoltak hozzá. A főbb részletek a következők:

• A melléklet : Egy repülőjegynek álcázott Microsoft Word dokumentum
• A csalijegy eredete : Módosítva egy nyilvánosan elérhető PDF-ből az Academia kutatásmegosztó weboldalán
• Fertőzés folyamata : A Word dokumentum megnyitása elindít egy VBA makrót, amely egy futtatható fájlt (smssdrvhost.exe) ír az áldozat rendszerére.
• A futtatható fájl funkciója : Betöltőként működik a MarsSnake, az újonnan felfedezett hátsó ajtó számára.
• Kommunikáció : A MarsSnake egy távoli szerverhez (contact.decenttoy.top) csatlakozik a parancsok fogadásához.

A 2023-ban, 2024-ben és 2025-ben ismételt behatolási kísérletek rávilágítanak az UnsolicitedBooker célzott kampányára e szervezet ellen.

MarsSnake: Egy hatékony eszköz a kéretlen könyvelők arzenáljában

A MarsSnake egy teljes értékű hátsóajtó, amely jelentős kontrollt biztosít a támadóknak a fertőzött gépek felett. Lehetővé teszi tetszőleges parancsok végrehajtását és korlátlan fájlolvasási/írási hozzáférést. A hátsóajtó kapcsolatban áll egy parancs-és-vezérlő (C&C) szerverrel az utasítások fogadása érdekében. Eddig úgy tűnik, hogy a MarsSnake-et kizárólag az UnsolicitedBooker használja, ami a fenyegetés egyik védjegyévé teszi.