MarsSnake Backdoor

정보보안 전문가들은 최근 언솔리시티드부커(UnsolicitedBooker)라는 중국 연계 해킹 조직의 전략을 공개했습니다. 이 위협 행위자는 이전에 알려지지 않은 백도어인 마스스네이크(MarsSnake)를 이용하여 사우디아라비아에 있는 익명의 국제기구를 표적으로 삼았습니다. 이들의 활동은 수년간 이어져 왔으며, 이는 해당 특정 조직에 대한 지속적인 관심을 보여줍니다.

스피어피싱의 새로운 변형: 항공권을 미끼로

이 그룹의 침투 방식은 스피어피싱 이메일에 크게 의존합니다. 이러한 이메일에는 피해자가 위협적인 첨부 파일을 열도록 유도하기 위해 항공권이 미끼로 포함되는 경우가 많습니다. 주요 대상은 아시아, 아프리카, 중동 지역의 정부 기관입니다. 공격자는 항공편과 관련된 미끼를 사용하므로 피싱 시도가 특히 설득력이 있고 맞춤화되어 있습니다.

알려진 악성 소프트웨어 무기고 및 중복되는 신원

UnsolicitedBooker의 공격은 다음을 포함한 여러 가지 잘 알려진 백도어를 배포하는 것으로 특징지어집니다.

• 치녹시
• 디드랫
• 독수마초
• 베랏

이러한 악성코드 도구는 일반적으로 중국 사이버 스파이 조직과 연관되어 있습니다. 더욱이 UnsolicitedBooker는 Space Pirates라는 또 다른 조직과 사우디아라비아의 이슬람 비영리 단체를 표적으로 삼아 Zardoor라는 백도어를 사용한 신원 미상의 조직과 유사한 특징을 공유합니다.

최신 캠페인 분석: MarsSnake 백도어 배포

2025년 1월에 발생한 가장 최근 공격은 동일한 사우디아라비아 조직을 표적으로 삼았습니다. 이 공격에는 사우디아 항공을 사칭하는 피싱 이메일이 포함되어 있었으며, 항공편 예약 정보가 첨부되어 있었습니다. 주요 내용은 다음과 같습니다.

• 첨부 파일 : 비행기 티켓으로 위장한 Microsoft Word 문서
• 미끼 티켓의 기원 : Academia 연구 공유 웹사이트에서 공개적으로 사용 가능한 PDF에서 수정됨
• 감염 프로세스 : Word 문서를 열면 피해자의 시스템에 실행 파일(smssdrvhost.exe)을 쓰는 VBA 매크로가 트리거됩니다.
• 실행 파일의 기능 : 새로 발견된 백도어인 MarsSnake의 로더 역할을 합니다.
• 통신 : MarsSnake는 원격 서버(contact.decenttoy.top)에 연결하여 명령을 수신합니다.

2023년, 2024년, 2025년에 반복된 침입 시도는 UnsolicitedBooker가 이 조직에 대한 집중적인 캠페인을 벌이고 있음을 보여줍니다.

MarsSnake: UnsolicitedBooker의 강력한 무기

MarsSnake는 공격자에게 감염된 시스템에 대한 상당한 통제권을 제공하는 완벽한 기능을 갖춘 백도어입니다. 임의 명령 실행과 무제한 파일 읽기/쓰기 접근을 허용합니다. 이 백도어는 C&C(명령 및 제어) 서버와 연결하여 명령을 수신합니다. 현재까지 MarsSnake는 UnsolicitedBooker가 독점적으로 사용하는 것으로 보이며, 이는 이 위협 행위자의 시그니처 도구로 인식되고 있습니다.