Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) MarsSnake Backdoor

MarsSnake Backdoor

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Përkthe në:

Ekspertët e Infosec kanë zbuluar së fundmi taktikat e një grupi hakerash të lidhur me Kinën, të njohur si UnsolicitedBooker. Ky aktor kërcënimi shënjestroi një organizatë ndërkombëtare të paidentifikuar në Arabinë Saudite duke përdorur një derë të pasme të panjohur më parë të quajtur MarsSnake. Aktiviteti i tyre përfshin disa vite, duke treguar një interes të vazhdueshëm në këtë objektiv të veçantë.

Phishing me Shtizë me një Kthesë të Shpejtë: Biletat e Avionit si Karrem

Metoda e infiltrimit të grupit mbështetet shumë në email-et "spear-phishing". Këto email-e shpesh përfshijnë bileta avioni si karrem për të joshur viktimat që të hapin bashkëngjitje kërcënuese. Shënjestrat janë kryesisht organizata qeveritare në të gjithë Azinë, Afrikën dhe Lindjen e Mesme. Përdorimi i karremeve të lidhura me fluturimin nga sulmuesit i bën përpjekjet e tyre të "phishing"-ut veçanërisht bindëse dhe të përshtatura.

Arsenali i njohur i programeve keqdashëse dhe identitetet mbivendosëse

Sulmet e UnsolicitedBooker karakterizohen nga vendosja e disa "backdoors" të njohura, duke përfshirë:

  • Çinoksi
  • DeedRAT
  • Hedkë helmuese
  • BeRAT

Këto mjete keqdashëse zakonisht lidhen me grupet kineze të spiunazhit kibernetik. Për më tepër, UnsolicitedBooker ndan karakteristikat me një tjetër grup të quajtur Space Pirates dhe një grup të paidentifikuar që përdori një derë të pasme të quajtur Zardoor kundër një organizate jofitimprurëse islamike në Arabinë Saudite.

Analiza e fundit e fushatës: Vendosja e derës së pasme MarsSnake

Fushata më e fundit, e datës janar 2025, kishte në shënjestër të njëjtën organizatë të Arabisë Saudite. Sulmi përfshinte një email phishing që imitonte Saudia Airlines me një bashkëngjitje të rezervimit të fluturimit. Detajet kryesore përfshijnë:

  • Shtojca : Një dokument i Microsoft Word i maskuar si biletë avioni
  • Origjina e biletës së karremit : Modifikuar nga një PDF i disponueshëm publikisht në faqen e internetit të ndarjes së kërkimeve të Academia-s.
  • Procesi i infektimit : Hapja e dokumentit Word aktivizon një makro VBA që shkruan një skedar të ekzekutueshëm (smssdrvhost.exe) në sistemin e viktimës.
  • Funksioni i ekzekutuesit : Vepron si një ngarkues për MarsSnake, derën e pasme të zbuluar rishtazi.
  • Komunikimi : MarsSnake lidhet me një server të largët (contact.decenttoy.top) për të marrë komanda.

Përpjekjet e përsëritura për ndërhyrje në vitet 2023, 2024 dhe 2025 nxjerrin në pah fushatën e fokusuar të UnsolicitedBooker kundër kësaj organizate.

MarsSnake: Një mjet i fuqishëm në arsenalin e UnsolicitedBooker

MarsSnake është një derë e pasme me funksione të plota që u jep sulmuesve kontroll të konsiderueshëm mbi makinat e infektuara. Ai mundëson ekzekutimin e komandave arbitrare dhe akses të pakufizuar në lexim/shkrim të skedarëve. Dera e pasme mban kontakt me një server komande dhe kontrolli (C&C) për të marrë udhëzime. Deri më tani, MarsSnake duket se përdoret ekskluzivisht nga UnsolicitedBooker, duke e shënuar atë si një mjet nënshkrimi të këtij aktori kërcënimi.

Në trend

Më e shikuara

Po ngarkohet...