MarsSnake Backdoor
Informācijas drošības eksperti nesen atklāja ar Ķīnu saistītas hakeru grupas UnsolicitedBooker taktiku. Šis apdraudējuma dalībnieks, izmantojot iepriekš nezināmu aizmugurējo durvju sistēmu MarsSnake, vērsās pret nenosauktu starptautisku organizāciju Saūda Arābijā. Viņu darbība ilgst vairākus gadus, apliecinot ilgstošu interesi par šo konkrēto mērķi.
Satura rādītājs
Pikšķerēšana ar nelielu pavērsienu: aviobiļetes kā ēsma
Grupas iefiltrēšanās metode lielā mērā balstās uz mērķtiecīgas pikšķerēšanas e-pastiem. Šajos e-pastos bieži tiek iekļautas aviobiļetes kā māneklis, lai pievilinātu upurus atvērt draudošus pielikumus. Mērķi galvenokārt ir valdības organizācijas visā Āzijā, Āfrikā un Tuvajos Austrumos. Uzbrucēju izmantotās ar lidojumiem saistītās ēsmas padara viņu pikšķerēšanas mēģinājumus īpaši pārliecinošus un pielāgotus.
Zināmā ļaunprogrammatūras arsenāla un pārklājošās identitātes
UnsolicitedBooker uzbrukumiem raksturīga vairāku labi zināmu aizmugurējo durvju izvietošana, tostarp:
- Činoksi
- DeedRAT
- Indīgā efeja
- BeRAT
Šie ļaunprogrammatūras rīki parasti ir saistīti ar Ķīnas kiberizlūkošanas grupām. Turklāt UnsolicitedBooker ir kopīgas iezīmes ar citu klasteri ar nosaukumu Space Pirates un neidentificētu grupu, kas izmantoja aizmugurējās durvis ar nosaukumu Zardoor pret islāma bezpeļņas organizāciju Saūda Arābijā.
Jaunākā kampaņas analīze: MarsSnake Backdoor izvietošana
Jaunākā kampaņa, kas datēta ar 2025. gada janvāri, bija vērsta pret to pašu Saūda Arābijas organizāciju. Uzbrukums bija saistīts ar pikšķerēšanas e-pastu, kas uzdevās par Saudia Airlines un kam bija pievienots lidojumu rezervācijas pielikums. Galvenā informācija ietver:
- Pielikums : Microsoft Word dokuments, kas maskēts kā aviobiļete
- Mānekļa biļetes izcelsme : modificēts no publiski pieejama PDF faila Academia pētījumu koplietošanas vietnē
- Infekcijas process : Atverot Word dokumentu, tiek aktivizēta VBA makro, kas ieraksta izpildāmo failu (smssdrvhost.exe) upura sistēmā.
- Izpildfaila funkcija : darbojas kā ielādētājs MarsSnake, jaunatklātajai aizmugurējai durvīm.
Atkārtoti ielaušanās mēģinājumi 2023., 2024. un 2025. gadā izceļ UnsolicitedBooker mērķtiecīgo kampaņu pret šo organizāciju.
MarsSnake: spēcīgs instruments nevēlamā Booker arsenālā
MarsSnake ir pilnvērtīga aizmugures durvju programma, kas uzbrucējiem dod ievērojamu kontroli pār inficētajām iekārtām. Tā ļauj izpildīt patvaļīgas komandas un neierobežotu piekļuvi failu lasīšanai/rakstīšanai. Aizmugures durvis uztur savienojumu ar komandu un vadības (C&C) serveri, lai saņemtu norādījumus. Līdz šim šķiet, ka MarsSnake izmanto tikai UnsolicitedBooker, kas to atzīmē kā šī apdraudējuma dalībnieka paraksta rīku.
