Бэкдор MarsSnake

Эксперты Infosec недавно раскрыли тактику хакерской группы, связанной с Китаем и известной как UnsolicitedBooker. Этот злоумышленник атаковал неназванную международную организацию в Саудовской Аравии, используя ранее неизвестный бэкдор под названием MarsSnake. Их деятельность охватывает несколько лет, что свидетельствует о постоянном интересе к этой конкретной цели.

Фишинг с изюминкой: авиабилеты как приманка

Метод проникновения группы в значительной степени основан на фишинговых письмах. Эти письма часто включают авиабилеты в качестве приманки, чтобы заставить жертв открыть угрожающие вложения. Целями в первую очередь являются правительственные организации в Азии, Африке и на Ближнем Востоке. Использование злоумышленниками приманок, связанных с полетами, делает их попытки фишинга особенно убедительными и целенаправленными.

Известный арсенал вредоносных программ и перекрывающиеся личности

Атаки UnsolicitedBooker характеризуются использованием нескольких известных бэкдоров, в том числе:

• Чинокси
• DeedRAT
• Ядовитый плющ
• БеРАТ

Эти вредоносные инструменты обычно связаны с китайскими группами кибершпионажа. Более того, UnsolicitedBooker имеет общие характеристики с другим кластером под названием Space Pirates и неопознанной группой, которая использовала бэкдор под названием Zardoor против исламской некоммерческой организации в Саудовской Аравии.

Последний анализ кампании: развертывание бэкдора MarsSnake

Последняя кампания, датированная январем 2025 года, была направлена на ту же организацию в Саудовской Аравии. Атака включала фишинговое письмо, выдававшее себя за Saudia Airlines, с вложением бронирования рейса. Основные детали включают:

• Вложение : документ Microsoft Word, замаскированный под авиабилет.
• Происхождение билета-приманки : Изменено из общедоступного PDF-файла на веб-сайте обмена научными данными Academia.
• Процесс заражения : открытие документа Word запускает макрос VBA, который записывает исполняемый файл (smssdrvhost.exe) в систему жертвы.
• Функция исполняемого файла : Действует как загрузчик для MarsSnake, недавно обнаруженного бэкдора.
• Связь : MarsSnake подключается к удаленному серверу (contact.decenttoy.top) для получения команд.

Повторные попытки вторжения в 2023, 2024 и 2025 годах подчеркивают целенаправленную кампанию UnsolicitedBooker против этой организации.

MarsSnake: мощный инструмент в арсенале UnsolicitedBooker

MarsSnake — это полнофункциональный бэкдор, который дает злоумышленникам значительный контроль над зараженными машинами. Он позволяет выполнять произвольные команды и неограниченный доступ к чтению/записи файлов. Бэкдор поддерживает связь с сервером управления и контроля (C&C) для получения инструкций. До сих пор MarsSnake, по-видимому, использовался исключительно UnsolicitedBooker, что делает его инструментом-сигнатурой этого субъекта угроз.