Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) MarsSnake Bakdør

MarsSnake Bakdør

Med Mezo i Advanced Persistent Threat (APT), Bakdører
Oversett til:

Infosec-eksperter har nylig avslørt taktikken til en Kina-tilknyttet hackergruppe kjent som UnsolicitedBooker. Denne trusselaktøren målrettet en ikke navngitt internasjonal organisasjon i Saudi-Arabia ved hjelp av en tidligere ukjent bakdør kalt MarsSnake. Aktiviteten deres strekker seg over flere år, og viser en vedvarende interesse for dette bestemte målet.

Spear-phishing med en vri: Flybilletter som agn

Gruppens infiltrasjonsmetode er i stor grad avhengig av spear-phishing-e-poster. Disse e-postene inneholder ofte flybilletter som lokkemidler for å lokke ofrene til å åpne truende vedlegg. Målene er primært statlige organisasjoner i Asia, Afrika og Midtøsten. Angripernes bruk av flyrelaterte lokkemidler gjør phishing-forsøkene deres spesielt overbevisende og skreddersydde.

Kjent arsenal av skadelig programvare og overlappende identiteter

Angrepene til UnsolicitedBooker er preget av utplasseringen av flere kjente bakdører, inkludert:

  • Chinoxy
  • DeedRAT
  • Giftsumak
  • BeRAT

Disse skadevareverktøyene er ofte knyttet til kinesiske cyberspionasjegrupper. Dessuten deler UnsolicitedBooker kjennetegn med en annen klynge kalt Space Pirates og en uidentifisert gruppe som brukte en bakdør kalt Zardoor mot en islamsk ideell organisasjon i Saudi-Arabia.

Siste kampanjeoversikt: MarsSnake-bakdørsutplasseringen

Den nyeste kampanjen, datert januar 2025, var rettet mot den samme saudiarabiske organisasjonen. Angrepet involverte en phishing-e-post som utga seg for å være Saudia Airlines med et vedlegg til en flybestilling. Viktige detaljer inkluderer:

  • Vedlegget : Et Microsoft Word-dokument forkledd som en flybillett
  • Opprinnelsen til lokkebilletten : Endret fra en offentlig tilgjengelig PDF på Academias nettsted for forskningsdeling
  • Infeksjonsprosess : Åpning av Word-dokumentet utløser en VBA-makro som skriver en kjørbar fil (smssdrvhost.exe) til offerets system.
  • Funksjon til den kjørbare filen : Fungerer som en laster for MarsSnake, den nylig oppdagede bakdøren
  • Kommunikasjon : MarsSnake kobler seg til en ekstern server (contact.decenttoy.top) for å motta kommandoer

Gjentatte innbruddsforsøk i 2023, 2024 og 2025 fremhever UnsolicitedBookers fokuserte kampanje mot denne organisasjonen.

MarsSnake: Et kraftig verktøy i UnsolicitedBookers arsenal

MarsSnake er en fullfunksjonell bakdør som gir angripere betydelig kontroll over infiserte maskiner. Den muliggjør utførelse av vilkårlige kommandoer og ubegrenset tilgang til lesing og skriving av filer. Bakdøren opprettholder kontakt med en kommando-og-kontroll-server (C&C) for å motta instruksjoner. Så langt ser det ut til at MarsSnake utelukkende brukes av UnsolicitedBooker, noe som markerer den som et signaturverktøy for denne trusselaktøren.

Trender

Mest sett

Laster inn...