MarsSnake Backdoor
ఇన్ఫోసెక్ నిపుణులు ఇటీవల అన్సాలిసిటెడ్బుకర్ అనే చైనా-సహచర హ్యాకింగ్ గ్రూప్ యొక్క వ్యూహాలను వెల్లడించారు. ఈ బెదిరింపు నటుడు మార్స్స్నేక్ అనే గతంలో తెలియని బ్యాక్డోర్ను ఉపయోగించి సౌదీ అరేబియాలోని పేరులేని అంతర్జాతీయ సంస్థను లక్ష్యంగా చేసుకున్నాడు. వారి కార్యకలాపాలు అనేక సంవత్సరాలుగా ఉన్నాయి, ఈ ప్రత్యేక లక్ష్యంపై నిరంతర ఆసక్తిని చూపిస్తున్నాయి.
విషయ సూచిక
ట్విస్ట్తో స్పియర్-ఫిషింగ్: ఎరగా విమాన టిక్కెట్లు
ఈ గ్రూప్ యొక్క చొరబాటు పద్ధతి ఎక్కువగా స్పియర్-ఫిషింగ్ ఇమెయిల్లపై ఆధారపడి ఉంటుంది. ఈ ఇమెయిల్లలో తరచుగా విమాన టిక్కెట్లను బాధితులను బెదిరింపు అటాచ్మెంట్లను తెరవడానికి ఆకర్షించడానికి మోసపూరితంగా ఉంటాయి. లక్ష్యంగా పెట్టుకున్నది ప్రధానంగా ఆసియా, ఆఫ్రికా మరియు మధ్యప్రాచ్యంలోని ప్రభుత్వ సంస్థలు. దాడి చేసేవారు విమాన సంబంధిత ఎరలను ఉపయోగించడం వల్ల వారి ఫిషింగ్ ప్రయత్నాలు ముఖ్యంగా నమ్మదగినవి మరియు అనుకూలీకరించబడతాయి.
తెలిసిన మాల్వేర్ ఆర్సెనల్ మరియు అతివ్యాప్తి చెందుతున్న గుర్తింపులు
అన్సాలిసిటెడ్బుకర్ దాడులు అనేక ప్రసిద్ధ బ్యాక్డోర్ల విస్తరణ ద్వారా గుర్తించబడ్డాయి, వాటిలో:
- చినోక్సీ
- డీడ్రాట్
- పాయిజన్ ఐవీ
- బీరాట్
ఈ మాల్వేర్ సాధనాలు సాధారణంగా చైనీస్ సైబర్-గూఢచర్య సమూహాలతో ముడిపడి ఉంటాయి. అంతేకాకుండా, అన్సాలిసిటెడ్బుకర్ స్పేస్ పైరేట్స్ అనే మరొక క్లస్టర్తో మరియు సౌదీ అరేబియాలోని ఇస్లామిక్ లాభాపేక్షలేని సంస్థకు వ్యతిరేకంగా జర్దూర్ అనే బ్యాక్డోర్ను ఉపయోగించిన గుర్తు తెలియని సమూహంతో లక్షణాలను పంచుకుంటుంది.
తాజా ప్రచార వివరణ: మార్స్ స్నేక్ బ్యాక్డోర్ విస్తరణ
జనవరి 2025 నాటి తాజా ప్రచారం అదే సౌదీ అరేబియా సంస్థను లక్ష్యంగా చేసుకుంది. ఈ దాడిలో సౌదియా ఎయిర్లైన్స్ను అనుకరిస్తూ విమాన బుకింగ్ అటాచ్మెంట్తో ఒక ఫిషింగ్ ఇమెయిల్ ఉంది. కీలక వివరాలు:
- అటాచ్మెంట్ : విమాన టికెట్ లాగా మారువేషంలో ఉన్న మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్.
- డెకాయ్ టికెట్ యొక్క మూలం : అకాడెమియా పరిశోధన-షేరింగ్ వెబ్సైట్లో బహిరంగంగా అందుబాటులో ఉన్న PDF నుండి సవరించబడింది.
- ఇన్ఫెక్షన్ ప్రక్రియ : వర్డ్ డాక్యుమెంట్ను తెరవడం వలన బాధితుడి సిస్టమ్కు ఎక్జిక్యూటబుల్ ఫైల్ (smssdrvhost.exe) ను వ్రాసే VBA మాక్రో ట్రిగ్గర్ అవుతుంది.
- ఎక్జిక్యూటబుల్ యొక్క ఫంక్షన్ : కొత్తగా కనుగొనబడిన బ్యాక్డోర్ అయిన మార్స్స్నేక్కు లోడర్గా పనిచేస్తుంది.
- కమ్యూనికేషన్ : ఆదేశాలను స్వీకరించడానికి మార్స్స్నేక్ రిమోట్ సర్వర్కు (contact.decenttoy.top) కనెక్ట్ అవుతుంది.
2023, 2024 మరియు 2025లో పదే పదే జరిగిన చొరబాటు ప్రయత్నాలు ఈ సంస్థకు వ్యతిరేకంగా అన్సాలిసిటెడ్బుకర్ దృష్టి సారించిన ప్రచారాన్ని హైలైట్ చేస్తాయి.
మార్స్స్నేక్: అన్సాలిసిటెడ్బుకర్ ఆర్సెనల్లో ఒక శక్తివంతమైన సాధనం
మార్స్స్నేక్ అనేది పూర్తిగా ఫీచర్ చేయబడిన బ్యాక్డోర్, ఇది దాడి చేసేవారికి ఇన్ఫెక్షన్ ఉన్న యంత్రాలపై గణనీయమైన నియంత్రణను ఇస్తుంది. ఇది ఏకపక్ష ఆదేశాల అమలును మరియు అపరిమిత ఫైల్ రీడ్/రైట్ యాక్సెస్ను అనుమతిస్తుంది. బ్యాక్డోర్ సూచనలను స్వీకరించడానికి కమాండ్-అండ్-కంట్రోల్ (C&C) సర్వర్తో సంబంధాన్ని కొనసాగిస్తుంది. ఇప్పటివరకు, మార్స్స్నేక్ను అన్సాలిసిటెడ్బుకర్ ప్రత్యేకంగా ఉపయోగిస్తున్నట్లు కనిపిస్తోంది, దీనిని ఈ బెదిరింపు నటుడి సంతకం సాధనంగా గుర్తిస్తుంది.
