MarsSnake Backdoor

ผู้เชี่ยวชาญด้าน Infosec ได้เปิดเผยกลวิธีของกลุ่มแฮกเกอร์ที่สนับสนุนจีนที่รู้จักกันในชื่อ UnsolicitedBooker เมื่อไม่นานนี้ ผู้ก่อภัยคุกคามรายนี้กำหนดเป้าหมายองค์กรระหว่างประเทศที่ไม่เปิดเผยชื่อในซาอุดีอาระเบียโดยใช้แบ็คดอร์ที่ไม่เคยเปิดเผยมาก่อนที่เรียกว่า MarsSnake กิจกรรมของกลุ่มนี้กินเวลาหลายปี แสดงให้เห็นว่ามีผู้สนใจเป้าหมายเฉพาะนี้อย่างต่อเนื่อง

การหลอกลวงแบบเจาะจง: ตั๋วเครื่องบินเป็นเหยื่อล่อ

วิธีการแทรกซึมของกลุ่มนี้อาศัยอีเมลฟิชชิ่งแบบเจาะจงเป็นอย่างมาก อีเมลเหล่านี้มักมีตั๋วเครื่องบินเป็นเหยื่อล่อเพื่อล่อเหยื่อให้เปิดไฟล์แนบที่คุกคาม เป้าหมายหลักคือองค์กรของรัฐบาลทั่วทั้งเอเชีย แอฟริกา และตะวันออกกลาง การใช้เหยื่อล่อที่เกี่ยวข้องกับการบินของผู้โจมตีทำให้การฟิชชิ่งของพวกเขาดูน่าเชื่อถือและเหมาะสมเป็นพิเศษ

คลังอาวุธมัลแวร์ที่รู้จักและตัวตนที่ทับซ้อนกัน

การโจมตีของ UnsolicitedBooker นั้นโดดเด่นด้วยการใช้แบ็คดอร์ที่รู้จักกันดีหลายตัว ซึ่งรวมถึง:

• ชินอกซี่
• ดี๊ดแรท
• พิษไอวี่
• เบแรท

เครื่องมือสำหรับมัลแวร์เหล่านี้มักเชื่อมโยงกับกลุ่มจารกรรมทางไซเบอร์ของจีน นอกจากนี้ UnsolicitedBooker ยังมีลักษณะร่วมกับคลัสเตอร์อื่นที่มีชื่อว่า Space Pirates และกลุ่มที่ไม่ระบุชื่อซึ่งใช้แบ็กดอร์ที่เรียกว่า Zardoor เพื่อโจมตีองค์กรไม่แสวงหากำไรอิสลามในซาอุดีอาระเบีย

การวิเคราะห์แคมเปญล่าสุด: การใช้งานแบ็คดอร์ MarsSnake

แคมเปญล่าสุดซึ่งเกิดขึ้นเมื่อเดือนมกราคม 2025 มีเป้าหมายเป็นองค์กรเดียวกันในซาอุดีอาระเบีย การโจมตีนี้เกี่ยวข้องกับอีเมลฟิชชิ่งที่แอบอ้างว่าเป็นสายการบิน Saudia Airlines พร้อมแนบไฟล์การจองเที่ยวบิน รายละเอียดสำคัญ ได้แก่:

• สิ่งที่แนบมา : เอกสาร Microsoft Word ที่ปลอมตัวเป็นตั๋วเครื่องบิน
• ที่มาของตั๋วล่อเป้า : ปรับปรุงจากไฟล์ PDF ที่เผยแพร่ต่อสาธารณะบนเว็บไซต์แบ่งปันงานวิจัยของ Academia
• กระบวนการติดเชื้อ : การเปิดเอกสาร Word จะกระตุ้นให้มีการสร้างแมโคร VBA ขึ้นมาเพื่อเขียนไฟล์ปฏิบัติการ (smssdrvhost.exe) ลงในระบบของเหยื่อ
• ฟังก์ชั่นของไฟล์ปฏิบัติการ : ทำหน้าที่เป็นตัวโหลดสำหรับ MarsSnake ซึ่งเป็นแบ็คดอร์ที่เพิ่งค้นพบใหม่
• การสื่อสาร : MarsSnake เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกล (contact.decenttoy.top) เพื่อรับคำสั่ง

ความพยายามบุกรุกซ้ำแล้วซ้ำเล่าในปี 2566 2567 และ 2568 เน้นย้ำถึงแคมเปญที่มุ่งเป้าของ UnsolicitedBooker ต่อต้านองค์กรนี้

MarsSnake: เครื่องมืออันทรงพลังในคลังอาวุธของ UnsolicitedBooker

MarsSnake เป็นแบ็คดอร์ที่มีคุณลักษณะครบครันซึ่งช่วยให้ผู้โจมตีสามารถควบคุมเครื่องที่ติดไวรัสได้อย่างมาก โดยแบ็คดอร์นี้ช่วยให้สามารถดำเนินการคำสั่งตามอำเภอใจและเข้าถึงไฟล์แบบอ่าน/เขียนได้โดยไม่จำกัด แบ็คดอร์นี้จะรักษาการติดต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) เพื่อรับคำสั่ง จนถึงขณะนี้ ดูเหมือนว่า MarsSnake จะถูกใช้โดย UnsolicitedBooker เท่านั้น ซึ่งถือเป็นเครื่องมือลายเซ็นของผู้ก่อภัยคุกคามรายนี้