Pintu Belakang MarsSnake

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), Pintu belakang

Terjemahkan ke

Pakar Infosec baru-baru ini telah mendedahkan taktik kumpulan penggodaman sejajar China yang dikenali sebagai UnsolicitedBooker. Aktor ancaman ini menyasarkan organisasi antarabangsa yang tidak dinamakan di Arab Saudi menggunakan pintu belakang yang tidak dikenali sebelum ini dipanggil MarsSnake. Aktiviti mereka menjangkau beberapa tahun, menunjukkan minat yang berterusan dalam sasaran khusus ini.

Isi kandungan

Spear-Phishing dengan Twist: Tiket Penerbangan sebagai Umpan

Kaedah penyusupan kumpulan sangat bergantung pada e-mel spear-phishing. E-mel ini sering memasukkan tiket penerbangan sebagai umpan untuk menarik mangsa membuka lampiran yang mengancam. Sasaran terutamanya organisasi kerajaan di seluruh Asia, Afrika dan Timur Tengah. Penggunaan gewang berkaitan penerbangan penyerang menjadikan percubaan pancingan data mereka sangat meyakinkan dan disesuaikan.

Malware Arsenal dan Identiti Bertindih yang Dikenali

Serangan UnsolicitedBooker ditandai dengan penempatan beberapa pintu belakang yang terkenal, termasuk:

Chinoxy
DeedRAT
Racun Ivy
BeRAT

Alat perisian hasad ini biasanya dikaitkan dengan kumpulan pengintipan siber China. Selain itu, UnsolicitedBooker berkongsi ciri dengan kluster lain bernama Space Pirates dan kumpulan tidak dikenali yang menggunakan pintu belakang yang dipanggil Zardoor terhadap organisasi bukan untung Islam di Arab Saudi.

Pecahan Kempen Terkini: Penerapan Pintu Belakang MarsSnake

Kempen terbaharu, bertarikh Januari 2025, menyasarkan organisasi Arab Saudi yang sama. Serangan itu melibatkan e-mel pancingan data yang menyamar sebagai Saudia Airlines dengan lampiran tempahan penerbangan. Butiran penting termasuk:

Lampiran : Dokumen Microsoft Word yang menyamar sebagai tiket penerbangan
Asal tiket umpan : Diubah suai daripada PDF yang tersedia secara umum di tapak web perkongsian penyelidikan Academia
Proses jangkitan : Membuka dokumen Word mencetuskan makro VBA yang menulis fail boleh laku (smssdrvhost.exe) ke sistem mangsa
Fungsi boleh laku : Bertindak sebagai pemuat untuk MarsSnake, pintu belakang yang baru ditemui
Komunikasi : MarsSnake menyambung ke pelayan jauh (contact.decenttoy.top) untuk menerima arahan

Percubaan pencerobohan berulang pada tahun 2023, 2024 dan 2025 menyerlahkan kempen tertumpu UnsolicitedBooker terhadap organisasi ini.

MarsSnake: Alat Perkasa dalam UnsolicitedBooker’s Arsenal

MarsSnake ialah pintu belakang berciri penuh yang memberikan penyerang kawalan ketara ke atas mesin yang dijangkiti. Ia membolehkan pelaksanaan arahan sewenang-wenangnya dan akses baca/tulis fail tanpa had. Pintu belakang mengekalkan hubungan dengan pelayan arahan dan kawalan (C&C) untuk menerima arahan. Setakat ini, MarsSnake nampaknya digunakan secara eksklusif oleh UnsolicitedBooker, menandakannya sebagai alat tandatangan pelakon ancaman ini.

Pemproses Pembayaran EnigmaSoft Pemfailan Digital River GmbH untuk Kebankrapan Tidak Menjejas Perlindungan Anti-Hasad Pelanggan SpyHunter

Cari

Tukar Wilayah

Pintu Belakang MarsSnake

Spear-Phishing dengan Twist: Tiket Penerbangan sebagai Umpan

Malware Arsenal dan Identiti Bertindih yang Dikenali

Pecahan Kempen Terkini: Penerapan Pintu Belakang MarsSnake

MarsSnake: Alat Perkasa dalam UnsolicitedBooker’s Arsenal

hantar komen

Trending

TerraStealerV2

Penadclub.com

PDFast

Paling banyak dilihat

Perisian hasad

Penipuan E-mel 'Geek Squad'

Timbul Timbul 'iPhone Anda Telah Digodam'