Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) MarsSnake Backdoor

MarsSnake Backdoor

Por Mezo em Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:

Os especialistas em segurança da informação revelaram recentemente as táticas de um grupo de hackers alinhado à China, conhecido como UnsolicitedBooker. Esse grupo de hackers teve como alvo uma organização internacional não identificada na Arábia Saudita, utilizando um backdoor até então desconhecido chamado MarsSnake. Sua atividade abrange vários anos, demonstrando um interesse constante nesse alvo específico.

Um Spear-Phishing com uma Reviravolta: Passagens Aéreas como Isca

O método de infiltração do grupo depende fortemente de e-mails de spear-phishing. Esses e-mails frequentemente incluem passagens aéreas como iscas para induzir as vítimas a abrir anexos ameaçadores. Os alvos são principalmente organizações governamentais na Ásia, África e Oriente Médio. O uso de iscas relacionadas a voos pelos invasores torna suas tentativas de phishing particularmente convincentes e personalizadas.

Um Arsenal de Malware Conhecido e Identidades Sobrepostas

Os ataques do UnsolicitedBooker são marcados pela implantação de vários backdoors bem conhecidos, incluindo:

  • Chinoxy
  • DeedRAT
  • Hera Venenosa
  • BeRAT

Essas ferramentas de malware são comumente vinculadas a grupos de ciberespionagem chineses. Além disso, o UnsolicitedBooker compartilha características com outro grupo chamado Space Pirates e um grupo não identificado que utilizou um backdoor chamado Zardoor contra uma organização islâmica sem fins lucrativos na Arábia Saudita.

Última Análise da Campanha: A Implantação do MarsSnake Backdoor

A campanha mais recente, datada de janeiro de 2025, teve como alvo a mesma organização saudita. O ataque envolveu um e-mail de phishing que se passava pela Saudia Airlines e continha um anexo com uma reserva de voo. Os principais detalhes incluem:

  • O anexo : Um documento do Microsoft Word disfarçado de passagem aérea
  • Origem do bilhete chamariz : Modificado de um PDF disponível publicamente no site de compartilhamento de pesquisas da Academia
  • Processo de infecção : Abrir o documento do Word aciona uma macro VBA que grava um arquivo executável (smssdrvhost.exe) no sistema da vítima
  • Função do executável : Atua como um carregador para MarsSnake, o backdoor recém-descoberto
  • Comunicação : MarsSnake se conecta a um servidor remoto (contact.decenttoy.top) para receber comandos

Tentativas repetidas de intrusão em 2023, 2024 e 2025 destacam a campanha focada do UnsolicitedBooker contra esta organização.

MarsSnake: Uma Ferramenta Poderosa no Arsenal do UnsolicitedBooker

O MarsSnake é um backdoor completo que oferece aos invasores controle significativo sobre as máquinas infectadas. Ele permite a execução de comandos arbitrários e acesso irrestrito de leitura/gravação a arquivos. O backdoor mantém contato com um servidor de comando e controle (C&C) para receber instruções. Até o momento, o MarsSnake parece ser usado exclusivamente pelo UnsolicitedBooker, o que o torna uma ferramenta de assinatura desse agente de ameaças.

Tendendo

Mais visto

Carregando...