Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) MarsSnake Backdoor

MarsSnake Backdoor

Până în Mezo în Amenințare persistentă avansată (APT), Ușile din spate
Tradu in:

Experții în securitatea informațiilor au dezvăluit recent tacticile unui grup de hackeri aliniat cu China, cunoscut sub numele de UnsolicitedBooker. Acest actor amenințător a vizat o organizație internațională anonimă din Arabia Saudită folosind un backdoor necunoscut anterior, numit MarsSnake. Activitatea lor se întinde pe mai mulți ani, demonstrând un interes susținut față de această țintă anume.

Spear-phishing cu o notă aparte: biletele de avion ca momeală

Metoda de infiltrare a grupului se bazează în mare măsură pe e-mailuri de tip spear-phishing. Aceste e-mailuri includ adesea bilete de avion ca momeli pentru a atrage victimele să deschidă atașamente amenințătoare. Țintele sunt în principal organizații guvernamentale din Asia, Africa și Orientul Mijlociu. Utilizarea de către atacatori a momelilor legate de zboruri face ca încercările lor de phishing să fie deosebit de convingătoare și personalizate.

Arsenalul de programe malware cunoscute și identități suprapuse

Atacurile UnsolicitedBooker sunt marcate de implementarea mai multor backdoor-uri bine-cunoscute, inclusiv:

  • Chinoxi
  • DeedRAT
  • Iederă otrăvitoare
  • BeRAT

Aceste instrumente malware sunt frecvent legate de grupurile de ciberspionaj chinezești. Mai mult, UnsolicitedBooker are caracteristici comune cu un alt cluster numit Space Pirates și cu un grup neidentificat care a folosit un backdoor numit Zardoor împotriva unei organizații non-profit islamice din Arabia Saudită.

Cea mai recentă analiză a campaniei: Implementarea backdoor-ului MarsSnake

Cea mai recentă campanie, din ianuarie 2025, a vizat aceeași organizație saudită. Atacul a implicat un e-mail de phishing care imita Saudia Airlines, cu un atașament la o rezervare de zbor. Detaliile cheie includ:

  • Atașamentul : Un document Microsoft Word deghizat în bilet de avion
  • Originea biletului capcană : Modificat dintr-un PDF disponibil publicului pe site-ul web de partajare a cercetărilor Academia
  • Procesul de infectare : Deschiderea documentului Word declanșează o macrocomandă VBA care scrie un fișier executabil (smssdrvhost.exe) pe sistemul victimei.
  • Funcția executabilului : Acționează ca un încărcător pentru MarsSnake, backdoor-ul recent descoperit
  • Comunicare : MarsSnake se conectează la un server la distanță (contact.decenttoy.top) pentru a primi comenzi

    • Tentativele repetate de intruziune din 2023, 2024 și 2025 evidențiază campania concentrată a UnsolicitedBooker împotriva acestei organizații.

    MarsSnake: Un instrument puternic în arsenalul lui Booker nesolicitat

    MarsSnake este un backdoor complet funcțional care oferă atacatorilor un control semnificativ asupra mașinilor infectate. Acesta permite executarea de comenzi arbitrare și acces nerestricționat la citire/scriere fișiere. Backdoor-ul menține contactul cu un server de comandă și control (C&C) pentru a primi instrucțiuni. Până în prezent, MarsSnake pare a fi utilizat exclusiv de UnsolicitedBooker, marcându-l ca un instrument caracteristic acestui actor de amenințare.

    Trending

    Cele mai văzute

    Se încarcă...