MarsSnake Backdoor
Experti v oblasti informačnej bezpečnosti nedávno odhalili taktiky hackerskej skupiny UnsolicitedBooker, ktorá je spojená s Čínou. Tento útočník sa zameral na nemenovanú medzinárodnú organizáciu v Saudskej Arábii pomocou predtým neznámeho zadného vrátka s názvom MarsSnake. Ich aktivita trvá už niekoľko rokov, čo svedčí o trvalom záujme o tento konkrétny cieľ.
Obsah
Spear-phishing s novým prvkom: Letenky ako návnada
Infiltračná metóda skupiny sa vo veľkej miere spolieha na spear phishingové e-maily. Tieto e-maily často obsahujú letenky ako návnadu, ktorá má obete nalákať na otvorenie výhražných príloh. Cieľmi sú predovšetkým vládne organizácie v Ázii, Afrike a na Blízkom východe. Použitie návnad súvisiacich s letmi útočníkmi robí ich phishingové pokusy obzvlášť presvedčivými a cielenými.
Známy arzenál škodlivého softvéru a prekrývajúce sa identity
Útoky UnsolicitedBooker sa vyznačujú nasadením niekoľkých známych zadných vrátok, vrátane:
- Čínoxy
- DeedRAT
- Jedovatý brečtan
- BeRAT
Tieto malvérové nástroje sú bežne spájané s čínskymi skupinami zaoberajúcimi sa kybernetickou špionážou. Okrem toho má UnsolicitedBooker spoločné charakteristiky s iným klastrom s názvom Space Pirates a neidentifikovanou skupinou, ktorá použila zadné vrátka s názvom Zardoor proti islamskej neziskovej organizácii v Saudskej Arábii.
Najnovší prehľad kampane: Nasadenie zadných vrátok MarsSnake
Najnovšia kampaň z januára 2025 bola zameraná na tú istú saudskoarabskú organizáciu. Útok zahŕňal phishingový e-mail vydávajúci sa za Saudia Airlines s prílohou na rezerváciu letu. Medzi kľúčové podrobnosti patria:
- Príloha : Dokument programu Microsoft Word maskovaný ako letenka
- Pôvod návnadového lístka : Upravené z verejne dostupného PDF súboru na webovej stránke Academia pre zdieľanie výskumu
- Proces infikovania : Otvorenie dokumentu programu Word spustí makro VBA, ktoré zapíše spustiteľný súbor (smssdrvhost.exe) do systému obete.
- Funkcia spustiteľného súboru : Funguje ako zavádzač pre MarsSnake, novo objavený zadný vrátnik.
Opakované pokusy o vniknutie v rokoch 2023, 2024 a 2025 zdôrazňujú cielenú kampaň UnsolicitedBooker proti tejto organizácii.
MarsSnake: Výkonný nástroj v arzenáli UnsolicitedBooker
MarsSnake sú plne funkčné zadné vrátka, ktoré útočníkom poskytujú významnú kontrolu nad infikovanými počítačmi. Umožňujú vykonávanie ľubovoľných príkazov a neobmedzený prístup k čítaniu/zápisu súborov. Zadné vrátka udržiavajú kontakt s príkazovým a riadiacim (C&C) serverom na prijímanie pokynov. Zatiaľ sa zdá, že MarsSnake používa výhradne UnsolicitedBooker, čo ho označuje za podpisový nástroj tohto aktéra hrozby.
