MarsSnake Backdoor
Informacijos saugumo ekspertai neseniai atskleidė su Kinija susijusios įsilaužėlių grupuotės, žinomos kaip „UnsolicitedBooker“, taktiką. Šis grėsmės veikėjas taikėsi į neįvardintą tarptautinę organizaciją Saudo Arabijoje, naudodamas anksčiau nežinomą užpakalinę durą, vadinamą „MarsSnake“. Jų veikla tęsiasi kelerius metus, o tai rodo nuolatinį susidomėjimą šiuo konkrečiu taikiniu.
Turinys
Sukčiavimas sukčiavimu su netikėtumu: lėktuvų bilietai kaip masalas
Grupės infiltracijos metodas labai priklauso nuo tikslinių sukčiavimo el. laiškų. Šiuose el. laiškuose dažnai pateikiami lėktuvo bilietai kaip masalas, siekiant privilioti aukas atidaryti grasinančius priedus. Taikiniai pirmiausia yra vyriausybinės organizacijos visoje Azijoje, Afrikoje ir Artimuosiuose Rytuose. Užpuolikų naudojamos su skrydžiais susijusios masalo priemonės daro jų sukčiavimo bandymus ypač įtikinamus ir pritaikytus individualiai.
Žinomas kenkėjiškų programų arsenalas ir persidengiančios tapatybės
„UnsolicitedBooker“ atakoms būdingas kelių gerai žinomų užpakalinių durų diegimas, įskaitant:
- Činoksi
- DeedRAT
- Nuodingoji gebenė
- BeRAT
Šios kenkėjiškos programos dažnai siejamos su Kinijos kibernetinio šnipinėjimo grupuotėmis. Be to, „UnsolicitedBooker“ turi bendrų bruožų su kita grupuote, vadinama „Space Pirates“, ir nenustatyta grupe, kuri panaudojo „Zardoor“ vadinamą slaptą saugų kanalą prieš islamišką ne pelno organizaciją Saudo Arabijoje.
Naujausia kampanijos analizė: „MarsSnake“ užpakalinių durų diegimas
Naujausia kampanija, įvykdyta 2025 m. sausio mėn., buvo nukreipta prieš tą pačią Saudo Arabijos organizaciją. Ataka buvo vykdoma naudojant sukčiavimo el. laišką, kuriame buvo apsimetama „Saudia Airlines“ ir pridėtas skrydžio užsakymo priedas. Svarbiausios detalės:
- Priedas : „Microsoft Word“ dokumentas, užmaskuotas kaip lėktuvo bilietas
- Masalo bilieto kilmė : modifikuota iš viešai prieinamo PDF failo „Academia“ tyrimų bendrinimo svetainėje.
- Užkrėtimo procesas : Atidarius „Word“ dokumentą, suaktyvinama VBA makrokomanda, kuri aukos sistemoje įrašo vykdomąjį failą (smssdrvhost.exe).
- Vykdomojo failo funkcija : veikia kaip „MarsSnake“, naujai atrastų užpakalinių durų, įkrovos programa.
Pakartotiniai įsilaužimo bandymai 2023, 2024 ir 2025 metais pabrėžia tikslingą „UnsolicitedBooker“ kampaniją prieš šią organizaciją.
„MarsSnake“: galingas įrankis neprašytų knygų autorių arsenale
„MarsSnake“ yra visavertė užkardomoji programa, suteikianti užpuolikams didelę užkrėstų kompiuterių kontrolę. Ji leidžia vykdyti savavališkas komandas ir neribotai skaityti / rašyti failus. Užkardomoji programa palaiko ryšį su komandų ir valdymo (C&C) serveriu, kad gautų instrukcijas. Kol kas atrodo, kad „MarsSnake“ naudoja tik „UnsolicitedBooker“, todėl ji yra šio grėsmės veikėjo firminis įrankis.
