MarsSnake Backdoor
Strokovnjaki za informacijsko varnost so nedavno razkrili taktike hekerske skupine UnsolicitedBooker, povezane s Kitajsko. Ta akter je ciljal na neimenovano mednarodno organizacijo v Savdski Arabiji z uporabo prej neznanega zadnjega vrata, imenovanega MarsSnake. Njihova dejavnost traja več let, kar kaže na vztrajno zanimanje za to specifično tarčo.
Kazalo
Lažno predstavljanje s preobratom: letalske karte kot vaba
Metoda infiltracije skupine se močno opira na e-poštna sporočila z lažnim predstavljanjem (spear phishing). Ta e-poštna sporočila pogosto vključujejo letalske vozovnice kot vabo, s katero žrtve zvabijo k odpiranju grozečih prilog. Tarče so predvsem vladne organizacije po Aziji, Afriki in Bližnjem vzhodu. Uporaba vab, povezanih z leti, s strani napadalcev naredi njihove poskuse lažnega predstavljanja še posebej prepričljive in prilagojene.
Znani arzenal zlonamerne programske opreme in prekrivajoče se identitete
Napadi UnsolicitedBookerja so zaznamovani z uporabo več znanih zadnjih vrat, vključno z:
- Činoksi
- DeedRAT
- Strupeni bršljan
- BeRAT
Ta orodja za zlonamerno programsko opremo so običajno povezana s kitajskimi skupinami za kibernetsko vohunjenje. Poleg tega ima UnsolicitedBooker skupne značilnosti z drugo skupino, imenovano Space Pirates, in neidentificirano skupino, ki je uporabila zadnja vrata, imenovana Zardoor, proti islamski neprofitni organizaciji v Savdski Arabiji.
Najnovejša razčlenitev kampanje: Uvedba zadnjih vrat MarsSnake
Najnovejša kampanja, z dne januarja 2025, je bila usmerjena na isto savdskoarabsko organizacijo. Napad je vključeval lažno e-pošto, v kateri se je izdajala družba Saudia Airlines, s priponko za rezervacijo leta. Ključne podrobnosti vključujejo:
- Priloga : Dokument programa Microsoft Word, prikrit kot letalska vozovnica
- Izvor vabljive vstopnice : Spremenjeno iz javno dostopne datoteke PDF na spletni strani Academia za izmenjavo raziskav
- Postopek okužbe : Odpiranje Wordovega dokumenta sproži makro VBA, ki v sistem žrtve zapiše izvedljivo datoteko (smssdrvhost.exe).
- Funkcija izvedljive datoteke : Deluje kot nalagalnik za MarsSnake, novo odkrita zadnja vrata.
Ponavljajoči se poskusi vdora v letih 2023, 2024 in 2025 poudarjajo osredotočeno kampanjo UnsolicitedBookerja proti tej organizaciji.
MarsSnake: Močno orodje v arzenalu UnsolicitedBookerja
MarsSnake so popolnoma opremljena zadnja vrata, ki napadalcem omogočajo znaten nadzor nad okuženimi računalniki. Omogočajo izvajanje poljubnih ukazov in neomejen dostop do branja/pisanja datotek. Zadnja vrata vzdržujejo stik s strežnikom za upravljanje in nadzor (C&C) za prejemanje navodil. Zaenkrat se zdi, da MarsSnake uporablja izključno UnsolicitedBooker, kar ga označuje kot prepoznavno orodje tega akterja grožnje.
