MarsSnake Tylne Drzwi

Eksperci ds. bezpieczeństwa informacji niedawno ujawnili taktykę grupy hakerskiej powiązanej z Chinami, znanej jako UnsolicitedBooker. Ten aktor zagrożeń zaatakował nienazwaną organizację międzynarodową w Arabii Saudyjskiej, używając nieznanego wcześniej tylnego wejścia o nazwie MarsSnake. Ich aktywność trwa od wielu lat, co pokazuje stałe zainteresowanie tym konkretnym celem.

Spear-Phishing z odrobiną pikanterii: Bilety lotnicze jako przynęta

Metoda infiltracji grupy opiera się w dużej mierze na e-mailach typu spear-phishing. Te e-maile często zawierają bilety lotnicze jako przynęty, aby zwabić ofiary do otwierania groźnych załączników. Celem są przede wszystkim organizacje rządowe w Azji, Afryce i na Bliskim Wschodzie. Wykorzystanie przez atakujących przynęt związanych z lotami sprawia, że ich próby phishingu są szczególnie przekonujące i dostosowane.

Znany arsenał złośliwego oprogramowania i nakładające się tożsamości

Ataki UnsolicitedBooker charakteryzują się wdrażaniem kilku znanych tylnych drzwi, w tym:

• Chinoksy
• AktRAT
• Trujący Bluszcz
• BeRAT

Te narzędzia malware są powszechnie powiązane z chińskimi grupami cybernetycznego szpiegostwa. Ponadto UnsolicitedBooker ma cechy wspólne z innym klastrem o nazwie Space Pirates i niezidentyfikowaną grupą, która użyła tylnego wejścia o nazwie Zardoor przeciwko islamskiej organizacji non-profit w Arabii Saudyjskiej.

Najnowsze podsumowanie kampanii: wdrożenie tylnych drzwi MarsSnake

Najnowsza kampania, datowana na styczeń 2025 r., była skierowana przeciwko tej samej organizacji z Arabii Saudyjskiej. Atak obejmował e-mail phishingowy podszywający się pod Saudia Airlines z załącznikiem do rezerwacji lotu. Kluczowe szczegóły obejmują:

• Załącznik : Dokument Microsoft Word zamaskowany jako bilet lotniczy
• Pochodzenie biletu-przynęty : Zmodyfikowano z publicznie dostępnego pliku PDF na stronie internetowej poświęconej udostępnianiu badań Academia
• Proces infekcji : Otwarcie dokumentu Word uruchamia makro VBA, które zapisuje plik wykonywalny (smssdrvhost.exe) w systemie ofiary
• Funkcja pliku wykonywalnego : Działa jako ładowarka dla MarsSnake, nowo odkrytego tylnego wejścia
• Komunikacja : MarsSnake łączy się ze zdalnym serwerem (contact.decenttoy.top), aby odbierać polecenia

Wielokrotne próby włamań w latach 2023, 2024 i 2025 wskazują na celową kampanię UnsolicitedBooker skierowaną przeciwko tej organizacji.

MarsSnake: potężne narzędzie w arsenale UnsolicitedBookera

MarsSnake to w pełni funkcjonalny backdoor, który daje atakującym znaczną kontrolę nad zainfekowanymi maszynami. Umożliwia wykonywanie dowolnych poleceń i nieograniczony dostęp do odczytu/zapisu plików. Backdoor utrzymuje kontakt z serwerem poleceń i kontroli (C&C), aby otrzymywać instrukcje. Jak dotąd MarsSnake wydaje się być używany wyłącznie przez UnsolicitedBooker, co oznacza go jako charakterystyczne narzędzie tego aktora zagrożenia.