MarsSnake Backdoor

இன்ஃபோசெக் நிபுணர்கள் சமீபத்தில், சீனாவுடன் இணைந்த UnsolicitedBooker என்ற ஹேக்கிங் குழுவின் தந்திரோபாயங்களை வெளிப்படுத்தியுள்ளனர். இந்த அச்சுறுத்தல் நடிகர், MarsSnake என்ற முன்னர் அறியப்படாத பின்கதவைப் பயன்படுத்தி சவுதி அரேபியாவில் உள்ள பெயரிடப்படாத சர்வதேச அமைப்பை குறிவைத்தார். அவர்களின் செயல்பாடு பல ஆண்டுகளாக நீடிக்கிறது, இந்த குறிப்பிட்ட இலக்கில் நீடித்த ஆர்வத்தைக் காட்டுகிறது.

ஈட்டி-ஃபிஷிங் ஒரு திருப்பத்துடன்: தூண்டில் விமான டிக்கெட்டுகள்

இந்தக் குழுவின் ஊடுருவல் முறை பெரும்பாலும் ஈட்டி-ஃபிஷிங் மின்னஞ்சல்களையே நம்பியுள்ளது. இந்த மின்னஞ்சல்களில் பெரும்பாலும் பாதிக்கப்பட்டவர்களை அச்சுறுத்தும் இணைப்புகளைத் திறக்க கவர்ந்திழுக்கும் வகையில் விமான டிக்கெட்டுகளும் அடங்கும். ஆசியா, ஆப்பிரிக்கா மற்றும் மத்திய கிழக்கு முழுவதும் உள்ள அரசு நிறுவனங்கள் முதன்மையாக இலக்கு வைக்கப்படுகின்றன. தாக்குதல் நடத்துபவர்கள் விமானம் தொடர்பான கவர்ச்சிகளைப் பயன்படுத்துவது அவர்களின் ஃபிஷிங் முயற்சிகளை குறிப்பாக நம்பத்தகுந்ததாகவும், தனிப்பயனாக்கப்பட்டதாகவும் ஆக்குகிறது.

அறியப்பட்ட தீம்பொருள் ஆயுதக் கிடங்கு மற்றும் ஒன்றுடன் ஒன்று இணைந்த அடையாளங்கள்

UnsolicitedBooker இன் தாக்குதல்கள் பல நன்கு அறியப்பட்ட பின்கதவுகளின் பயன்பாடு மூலம் குறிக்கப்படுகின்றன, அவற்றுள்:

• சினாக்ஸி
• டீட்ராட்
• விஷப் படர்க்கொடி
• பெராட்

இந்த தீம்பொருள் கருவிகள் பொதுவாக சீன சைபர்-உளவு குழுக்களுடன் இணைக்கப்பட்டுள்ளன. மேலும், UnsolicitedBooker, Space Pirates என்ற மற்றொரு குழுவுடனும், சவுதி அரேபியாவில் உள்ள ஒரு இஸ்லாமிய இலாப நோக்கற்ற நிறுவனத்திற்கு எதிராக Zardoor என்ற பின்கதவைப் பயன்படுத்திய அடையாளம் தெரியாத குழுவுடனும் பண்புகளைப் பகிர்ந்து கொள்கிறது.

சமீபத்திய பிரச்சார விவரம்: மார்ஸ்ஸ்னேக் பின்புறப் பயன்பாடு

ஜனவரி 2025 தேதியிட்ட மிகச் சமீபத்திய பிரச்சாரம், அதே சவுதி அரேபிய அமைப்பை இலக்காகக் கொண்டது. இந்தத் தாக்குதலில் விமான முன்பதிவு இணைப்புடன் சவுதியா ஏர்லைன்ஸைப் போல ஆள்மாறாட்டம் செய்யும் ஃபிஷிங் மின்னஞ்சல் இருந்தது. முக்கிய விவரங்கள் பின்வருமாறு:

• இணைப்பு : விமான டிக்கெட்டைப் போல மாறுவேடமிட்ட மைக்ரோசாஃப்ட் வேர்டு ஆவணம்.
• ஏமாற்று டிக்கெட்டின் தோற்றம் : அகாடமியா ஆராய்ச்சி-பகிர்வு வலைத்தளத்தில் பொதுவில் கிடைக்கும் PDF இலிருந்து மாற்றியமைக்கப்பட்டது.
• தொற்று செயல்முறை : வேர்டு ஆவணத்தைத் திறப்பது ஒரு VBA மேக்ரோவைத் தூண்டுகிறது, இது பாதிக்கப்பட்டவரின் கணினியில் ஒரு இயங்கக்கூடிய கோப்பை (smssdrvhost.exe) எழுதுகிறது.
• இயங்கக்கூடிய செயலியின் செயல்பாடு : புதிதாகக் கண்டுபிடிக்கப்பட்ட பின்கதவான மார்ஸ்ஸ்னேக்கிற்கு ஏற்றிச் செயல்படுகிறது.
• தொடர்பு : கட்டளைகளைப் பெற MarsSnake ஒரு தொலை சேவையகத்துடன் (contact.decenttoy.top) இணைகிறது.

2023, 2024 மற்றும் 2025 ஆம் ஆண்டுகளில் மீண்டும் மீண்டும் ஊடுருவல் முயற்சிகள், இந்த அமைப்புக்கு எதிரான UnsolicitedBooker இன் கவனம் செலுத்தும் பிரச்சாரத்தை எடுத்துக்காட்டுகின்றன.

மார்ஸ்ஸ்னேக்: அன்சலிட்டட் புக்கரின் ஆயுதக் களஞ்சியத்தில் ஒரு சக்திவாய்ந்த கருவி.

MarsSnake என்பது முழுமையாக அம்சங்களுடன் கூடிய பின்கதவு ஆகும், இது தாக்குபவர்களுக்கு பாதிக்கப்பட்ட இயந்திரங்கள் மீது குறிப்பிடத்தக்க கட்டுப்பாட்டை வழங்குகிறது. இது தன்னிச்சையான கட்டளைகளை செயல்படுத்துவதையும், கோப்புகளைப் படிக்க/எழுதுவதற்கான வரம்பற்ற அணுகலையும் செயல்படுத்துகிறது. பின்கதவு கட்டளைகளைப் பெற கட்டளை-மற்றும்-கட்டுப்பாட்டு (C&C) சேவையகத்துடன் தொடர்பைப் பராமரிக்கிறது. இதுவரை, MarsSnake பிரத்தியேகமாக UnsolicitedBooker ஆல் பயன்படுத்தப்படுவதாகத் தெரிகிறது, இது இந்த அச்சுறுத்தல் நடிகரின் கையொப்பக் கருவியாகக் குறிக்கிறது.