MarsSnake Backdoor
Стручњаци за информатику и безбедност недавно су открили тактике хакерске групе повезане са Кином, познате као UnsolicitedBooker. Овај претњак је циљао неименовану међународну организацију у Саудијској Арабији користећи раније непознати бекдор под називом MarsSnake. Њихова активност траје више година, што показује континуирано интересовање за ову конкретну мету.
Преглед садржаја
Копијски фишинг са изненађењем: Авионске карте као мамац
Метод инфилтрације групе се у великој мери ослања на фишинг имејлове. Ови имејлови често садрже авионске карте као мамце како би намамили жртве да отворе претеће прилоге. Мете су првенствено владине организације широм Азије, Африке и Блиског истока. Коришћење мамаца везаних за летове од стране нападача чини њихове фишинг покушаје посебно убедљивим и прилагођеним.
Познати арсенал злонамерног софтвера и преклапајући идентитети
Напади UnsolicitedBooker-а обележени су постављањем неколико добро познатих задњих врата, укључујући:
- Чинокси
- DeedRAT
- Отровни бршљан
- БеРАТ
Ови алати за злонамерни софтвер се обично повезују са кинеским групама за сајбер шпијунажу. Штавише, UnsolicitedBooker дели карактеристике са другим кластером под називом Space Pirates и неидентификованом групом која је користила задња врата под називом Zardoor против једне исламске непрофитне организације у Саудијској Арабији.
Најновији преглед кампање: Распоређивање задњих врата MarsSnake-а
Најновија кампања, датирана из јануара 2025. године, била је усмерена на исту саудијску организацију. Напад је укључивао фишинг имејл који се лажно представљао као Саудија ерлајнс са прилогом за резервацију лета. Кључни детаљи укључују:
- Прилог : Microsoft Word документ прерушен у авионску карту
- Порекло карте за мамца : Измењено из јавно доступног ПДФ-а на веб-сајту Академије за дељење истраживања
- Процес инфекције : Отварање Word документа покреће VBA макро који уписује извршну датотеку (smssdrvhost.exe) на систем жртве.
- Функција извршне датотеке : Делује као програм за учитавање (loader) за MarsSnake, новооткривени бекдор.
Поновљени покушаји упада 2023, 2024. и 2025. године истичу UnsolicitedBooker-ову фокусирану кампању против ове организације.
МарсСнејк: Моћан алат у арсеналу Нежељеног Букера
МарсСнејк је потпуно функционалан бекдор који даје нападачима значајну контролу над зараженим машинама. Омогућава извршавање произвољних команди и неограничен приступ читању/писању датотека. Бекдор одржава контакт са командно-контролним (C&C) сервером ради примања инструкција. За сада, чини се да МарсСнејк искључиво користи UnsolicitedBooker, што га означава као потписни алат овог актера претње.
