MarsSnake Backdoor
ਇਨਫੋਸੇਕ ਮਾਹਿਰਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਚੀਨ-ਸਹਿਯੋਗੀ ਹੈਕਿੰਗ ਸਮੂਹ ਦੀਆਂ ਚਾਲਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ ਅਨਸੋਲੀਸਿਟੇਡਬੁੱਕਰ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੇ ਸਾਊਦੀ ਅਰਬ ਵਿੱਚ ਇੱਕ ਅਣਜਾਣ ਅੰਤਰਰਾਸ਼ਟਰੀ ਸੰਗਠਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਿਸਨੂੰ ਪਹਿਲਾਂ ਅਣਜਾਣ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਮਾਰਸਸਨੇਕ ਕਿਹਾ ਜਾਂਦਾ ਸੀ। ਉਨ੍ਹਾਂ ਦੀ ਗਤੀਵਿਧੀ ਕਈ ਸਾਲਾਂ ਤੱਕ ਫੈਲੀ ਹੋਈ ਹੈ, ਜੋ ਇਸ ਖਾਸ ਨਿਸ਼ਾਨੇ ਵਿੱਚ ਨਿਰੰਤਰ ਦਿਲਚਸਪੀ ਦਿਖਾਉਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇੱਕ ਮੋੜ ਦੇ ਨਾਲ ਸਪੀਅਰ-ਫਿਸ਼ਿੰਗ: ਫਲਾਈਟ ਟਿਕਟਾਂ ਦਾਣਾ ਵਜੋਂ
ਇਸ ਸਮੂਹ ਦਾ ਘੁਸਪੈਠ ਦਾ ਤਰੀਕਾ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਈਮੇਲਾਂ ਵਿੱਚ ਅਕਸਰ ਫਲਾਈਟ ਟਿਕਟਾਂ ਸ਼ਾਮਲ ਹੁੰਦੀਆਂ ਹਨ ਤਾਂ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਧਮਕੀ ਭਰੇ ਅਟੈਚਮੈਂਟ ਖੋਲ੍ਹਣ ਲਈ ਲੁਭਾਇਆ ਜਾ ਸਕੇ। ਨਿਸ਼ਾਨਾ ਮੁੱਖ ਤੌਰ 'ਤੇ ਏਸ਼ੀਆ, ਅਫਰੀਕਾ ਅਤੇ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਸਰਕਾਰੀ ਸੰਗਠਨ ਹਨ। ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਉਡਾਣ ਨਾਲ ਸਬੰਧਤ ਲਾਲਚਾਂ ਦੀ ਵਰਤੋਂ ਉਨ੍ਹਾਂ ਦੇ ਫਿਸ਼ਿੰਗ ਯਤਨਾਂ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਯਕੀਨਨ ਅਤੇ ਅਨੁਕੂਲ ਬਣਾਉਂਦੀ ਹੈ।
ਜਾਣੇ-ਪਛਾਣੇ ਮਾਲਵੇਅਰ ਆਰਸਨਲ ਅਤੇ ਓਵਰਲੈਪਿੰਗ ਪਛਾਣਾਂ
ਅਣਚਾਹੇ ਬੁੱਕਰ ਦੇ ਹਮਲੇ ਕਈ ਜਾਣੇ-ਪਛਾਣੇ ਬੈਕਡੋਰਾਂ ਦੀ ਤਾਇਨਾਤੀ ਦੁਆਰਾ ਚਿੰਨ੍ਹਿਤ ਹਨ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਚਿਨੌਕਸੀ
- ਡੀਡਰੇਟ
- ਜ਼ਹਿਰ ਆਈਵੀ
- ਬੇਰੈਟ
ਇਹ ਮਾਲਵੇਅਰ ਟੂਲ ਆਮ ਤੌਰ 'ਤੇ ਚੀਨੀ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਸਮੂਹਾਂ ਨਾਲ ਜੁੜੇ ਹੁੰਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਨਸੋਲੀਸਿਟਡਬੁੱਕਰ ਸਪੇਸ ਪਾਈਰੇਟਸ ਨਾਮਕ ਇੱਕ ਹੋਰ ਸਮੂਹ ਅਤੇ ਇੱਕ ਅਣਪਛਾਤੇ ਸਮੂਹ ਨਾਲ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸਾਂਝੀਆਂ ਕਰਦਾ ਹੈ ਜਿਸਨੇ ਸਾਊਦੀ ਅਰਬ ਵਿੱਚ ਇੱਕ ਇਸਲਾਮੀ ਗੈਰ-ਮੁਨਾਫ਼ਾ ਸੰਸਥਾ ਦੇ ਵਿਰੁੱਧ ਜ਼ਰਦੂਰ ਨਾਮਕ ਇੱਕ ਬੈਕਡੋਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ।
ਮੁਹਿੰਮ ਦਾ ਨਵੀਨਤਮ ਵੇਰਵਾ: ਮਾਰਸ ਸਨੇਕ ਬੈਕਡੋਰ ਡਿਪਲਾਇਮੈਂਟ
ਜਨਵਰੀ 2025 ਦੀ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਮੁਹਿੰਮ, ਉਸੇ ਸਾਊਦੀ ਅਰਬ ਸੰਗਠਨ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਕੇ ਚਲਾਈ ਗਈ ਸੀ। ਇਸ ਹਮਲੇ ਵਿੱਚ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਸ਼ਾਮਲ ਸੀ ਜਿਸ ਵਿੱਚ ਸਾਊਦੀਆ ਏਅਰਲਾਈਨਜ਼ ਦਾ ਰੂਪ ਧਾਰਨ ਕਰਕੇ ਇੱਕ ਫਲਾਈਟ ਬੁਕਿੰਗ ਅਟੈਚਮੈਂਟ ਸੀ। ਮੁੱਖ ਵੇਰਵਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਅਟੈਚਮੈਂਟ : ਇੱਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਰਡ ਦਸਤਾਵੇਜ਼ ਜੋ ਕਿ ਫਲਾਈਟ ਟਿਕਟ ਦੇ ਭੇਸ ਵਿੱਚ ਹੈ।
- ਡੀਕੋਏ ਟਿਕਟ ਦੀ ਉਤਪਤੀ : ਅਕੈਡਮੀਆ ਰਿਸਰਚ-ਸ਼ੇਅਰਿੰਗ ਵੈੱਬਸਾਈਟ 'ਤੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ PDF ਤੋਂ ਸੋਧਿਆ ਗਿਆ
- ਇਨਫੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ : ਵਰਡ ਡੌਕੂਮੈਂਟ ਖੋਲ੍ਹਣ ਨਾਲ ਇੱਕ VBA ਮੈਕਰੋ ਚਾਲੂ ਹੁੰਦਾ ਹੈ ਜੋ ਪੀੜਤ ਦੇ ਸਿਸਟਮ ਵਿੱਚ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ (smssdrvhost.exe) ਲਿਖਦਾ ਹੈ।
- ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦਾ ਕੰਮ : ਨਵੇਂ ਖੋਜੇ ਗਏ ਬੈਕਡੋਰ, ਮਾਰਸਨੇਕ ਲਈ ਇੱਕ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।
- ਸੰਚਾਰ : ਮਾਰਸਨੇਕ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ (contact.decenttoy.top) ਨਾਲ ਜੁੜਦਾ ਹੈ।
2023, 2024 ਅਤੇ 2025 ਵਿੱਚ ਵਾਰ-ਵਾਰ ਘੁਸਪੈਠ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਇਸ ਸੰਗਠਨ ਦੇ ਵਿਰੁੱਧ ਅਨਸੋਲਿਕੇਟਿਡਬੁੱਕਰ ਦੀ ਕੇਂਦ੍ਰਿਤ ਮੁਹਿੰਮ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ।
ਮਾਰਸਸਨੇਕ: ਅਨਸੋਲੀਸਿਟੇਡਬੁੱਕਰ ਦੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸੰਦ
ਮਾਰਸਨੇਕ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਫੀਚਰਡ ਬੈਕਡੋਰ ਹੈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨਾਂ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਨਿਯੰਤਰਣ ਦਿੰਦਾ ਹੈ। ਇਹ ਮਨਮਾਨੇ ਕਮਾਂਡਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਅਨਿਯੰਤ੍ਰਿਤ ਫਾਈਲ ਰੀਡ/ਰਾਈਟ ਐਕਸੈਸ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਬੈਕਡੋਰ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਬਣਾਈ ਰੱਖਦਾ ਹੈ। ਹੁਣ ਤੱਕ, ਮਾਰਸਨੇਕ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਅਨਸੋਲੀਸਿਟੇਡਬੁੱਕਰ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਜਾਪਦਾ ਹੈ, ਇਸਨੂੰ ਇਸ ਧਮਕੀ ਐਕਟਰ ਦੇ ਦਸਤਖਤ ਟੂਲ ਵਜੋਂ ਚਿੰਨ੍ਹਿਤ ਕਰਦਾ ਹੈ।
