Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) MarsSnake Backdoor

MarsSnake Backdoor

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:

Infosec-experts hebben onlangs de tactieken onthuld van een hackersgroep met banden met China, bekend als UnsolicitedBooker. Deze hacker richtte zich op een onbekende internationale organisatie in Saoedi-Arabië met behulp van een tot nu toe onbekende backdoor genaamd MarsSnake. Hun activiteiten beslaan meerdere jaren en tonen een aanhoudende interesse in dit specifieke doelwit.

Spear-phishing met een twist: vliegtickets als lokaas

De infiltratiemethode van de groep is sterk afhankelijk van spearphishingmails. Deze e-mails bevatten vaak vliegtickets als lokaas om slachtoffers te verleiden dreigende bijlagen te openen. De doelwitten zijn voornamelijk overheidsorganisaties in Azië, Afrika en het Midden-Oosten. Het gebruik van vlieggerelateerde lokkertjes door de aanvallers maakt hun phishingpogingen bijzonder overtuigend en gericht.

Bekend malware-arsenaal en overlappende identiteiten

De aanvallen van UnsolicitedBooker worden gekenmerkt door de inzet van verschillende bekende backdoors, waaronder:

  • Chinoxy
  • DeedRAT
  • Gifsumak
  • BeRAT

Deze malwaretools worden vaak in verband gebracht met Chinese cyberspionagegroepen. Bovendien deelt UnsolicitedBooker kenmerken met een andere groep, genaamd Space Pirates, en een onbekende groep die een backdoor genaamd Zardoor gebruikte tegen een islamitische non-profitorganisatie in Saoedi-Arabië.

Laatste campagne-overzicht: De MarsSnake Backdoor-implementatie

De meest recente campagne, daterend uit januari 2025, was gericht op dezelfde Saoedische organisatie. De aanval bestond uit een phishingmail die zich voordeed als Saudia Airlines en een bijlage bevatte met een vluchtboeking. De belangrijkste details zijn:

  • De bijlage : Een Microsoft Word-document vermomd als vliegticket
  • Oorsprong van het lokaasticket : Gewijzigd van een openbaar beschikbare PDF op de Academia-website voor het delen van onderzoek
  • Infectieproces : het openen van het Word-document activeert een VBA-macro die een uitvoerbaar bestand (smssdrvhost.exe) naar het systeem van het slachtoffer schrijft
  • Functie van het uitvoerbare bestand : fungeert als een lader voor MarsSnake, de nieuw ontdekte backdoor
  • Communicatie : MarsSnake maakt verbinding met een externe server (contact.decenttoy.top) om opdrachten te ontvangen

    • Herhaalde inbraakpogingen in 2023, 2024 en 2025 onderstrepen de gerichte campagne van UnsolicitedBooker tegen deze organisatie.

    MarsSnake: een krachtig instrument in het arsenaal van UnsolicitedBooker

    MarsSnake is een backdoor met alle functies die aanvallers aanzienlijke controle geeft over geïnfecteerde machines. Het maakt de uitvoering van willekeurige commando's en onbeperkte lees- en schrijftoegang tot bestanden mogelijk. De backdoor onderhoudt contact met een command-and-control (C&C)-server om instructies te ontvangen. Tot nu toe lijkt MarsSnake uitsluitend door UnsolicitedBooker te worden gebruikt, wat het markeert als een kenmerkende tool van deze dreigingsactor.

    Trending

    Meest bekeken

    Bezig met laden...