Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) MarsSnake Bakdörr

MarsSnake Bakdörr

Med Mezo år Advanced Persistent Threat (APT), Bakdörrar
Översätt till:

Infosec-experter har nyligen avslöjat taktiken hos en Kina-allierad hackergrupp som kallas UnsolicitedBooker. Denna hotaktör riktade in sig på en icke namngiven internationell organisation i Saudiarabien med hjälp av en tidigare okänd bakdörr som heter MarsSnake. Deras aktivitet sträcker sig över flera år och visar ett ihållande intresse för just detta mål.

Spear-Phishing med en twist: Flygbiljetter som lockbete

Gruppens infiltrationsmetod förlitar sig i hög grad på spear-phishing-mejl. Dessa mejl innehåller ofta flygbiljetter som lockmedel för att locka offer att öppna hotfulla bilagor. Målen är främst statliga organisationer i Asien, Afrika och Mellanöstern. Angriparnas användning av flygrelaterade lockbeten gör deras nätfiskeförsök särskilt övertygande och skräddarsydda.

Känt arsenal av skadlig kod och överlappande identiteter

UnsolicitedBookers attacker kännetecknas av utplaceringen av flera välkända bakdörrar, inklusive:

  • Chinoxy
  • DeedRAT
  • Giftmurgröna
  • BeRAT

Dessa skadliga program är ofta kopplade till kinesiska cyberspionagegrupper. Dessutom delar UnsolicitedBooker egenskaper med ett annat kluster som heter Space Pirates och en oidentifierad grupp som använde en bakdörr som heter Zardoor mot en islamisk ideell organisation i Saudiarabien.

Senaste kampanjöversikt: MarsSnake-bakdörrsdistributionen

Den senaste kampanjen, daterad januari 2025, riktade sig mot samma saudiarabiska organisation. Attacken involverade ett nätfiskemejl som utgav sig för att vara Saudia Airlines med en bilaga till en flygbokning. Viktiga detaljer inkluderar:

  • Bifogad fil : Ett Microsoft Word-dokument förklätt som en flygbiljett
  • Ursprunget till lockbeteskvittot : Modifierad från en offentligt tillgänglig PDF på Academias webbplats för forskningsdelning
  • Infektionsprocess : När Word-dokumentet öppnas utlöses ett VBA-makro som skriver en körbar fil (smssdrvhost.exe) till offrets system.
  • Funktion hos den körbara filen : Fungerar som en laddare för MarsSnake, den nyupptäckta bakdörren
  • Kommunikation : MarsSnake ansluter till en fjärrserver (contact.decenttoy.top) för att ta emot kommandon.

Upprepade intrångsförsök under 2023, 2024 och 2025 belyser UnsolicitedBookers fokuserade kampanj mot denna organisation.

MarsSnake: Ett kraftfullt verktyg i UnsolicitedBookers arsenal

MarsSnake är en fullfjädrad bakdörr som ger angripare betydande kontroll över infekterade maskiner. Den möjliggör exekvering av godtyckliga kommandon och obegränsad åtkomst till läs- och skrivfunktioner för filer. Bakdörren upprätthåller kontakt med en kommando- och kontrollserver (C&C) för att ta emot instruktioner. Hittills verkar MarsSnake användas exklusivt av UnsolicitedBooker, vilket markerar den som ett signaturverktyg för denna hotaktör.

Trendigt

Mest sedda

Läser in...