MarsSnake Backdoor

Inihayag kamakailan ng mga eksperto sa Infosec ang mga taktika ng isang grupo ng pag-hack na nakahanay sa China na kilala bilang UnsolicitedBooker. Tinarget ng banta ng aktor na ito ang isang hindi pinangalanang internasyonal na organisasyon sa Saudi Arabia gamit ang isang dating hindi kilalang backdoor na tinatawag na MarsSnake. Ang kanilang aktibidad ay sumasaklaw ng maraming taon, na nagpapakita ng patuloy na interes sa partikular na target na ito.

Spear-Phishing na may Twist: Mga Flight Ticket bilang Pain

Ang paraan ng paglusot ng grupo ay lubos na umaasa sa mga email ng spear-phishing. Ang mga email na ito ay kadalasang nagsasama ng mga flight ticket bilang mga pang-aakit sa mga biktima na magbukas ng mga nagbabantang attachment. Ang mga target ay pangunahing mga organisasyon ng pamahalaan sa buong Asia, Africa at Middle East. Ang paggamit ng mga umaatake ng mga pang-akit na nauugnay sa paglipad ay ginagawang partikular na nakakumbinsi at naayon ang kanilang mga pagtatangka sa phishing.

Mga Kilalang Malware Arsenal at Nagpapatong na Pagkakakilanlan

Ang mga pag-atake ng UnsolicitedBooker ay minarkahan ng pag-deploy ng ilang kilalang backdoors, kabilang ang:

• Chinoxy
• DeedRAT
• Poison Ivy
• BeRAT

Ang mga tool sa malware na ito ay karaniwang naka-link sa mga Chinese cyber-espionage group. Bukod dito, ang UnsolicitedBooker ay nagbabahagi ng mga katangian sa isa pang cluster na pinangalanang Space Pirates at isang hindi kilalang grupo na gumamit ng backdoor na tinatawag na Zardoor laban sa isang Islamic non-profit sa Saudi Arabia.

Pinakabagong Pagkasira ng Campaign: Ang MarsSnake Backdoor Deployment

Ang pinakahuling campaign, na may petsang Enero 2025, ay naka-target sa parehong Saudi Arabian na organisasyon. Ang pag-atake ay nagsasangkot ng isang phishing email na nagpapanggap bilang Saudia Airlines na may kasamang flight booking attachment. Kabilang sa mga pangunahing detalye ang:

• Ang kalakip : Isang dokumento ng Microsoft Word na itinago bilang isang tiket sa paglipad
• Pinagmulan ng decoy ticket : Binago mula sa isang PDF na available sa publiko sa website ng pagbabahagi ng pananaliksik ng Academia
• Proseso ng impeksyon : Ang pagbubukas ng dokumento ng Word ay nagti-trigger ng VBA macro na nagsusulat ng executable file (smssdrvhost.exe) sa system ng biktima
• Function ng executable : Nagsisilbing loader para sa MarsSnake, ang bagong natuklasang backdoor

Ang mga paulit-ulit na pagsubok na panghihimasok noong 2023, 2024, at 2025 ay nagha-highlight sa nakatuong kampanya ng UnsolicitedBooker laban sa organisasyong ito.

MarsSnake: Isang Napakahusay na Tool sa UnsolicitedBooker's Arsenal

Ang MarsSnake ay isang ganap na tampok na backdoor na nagbibigay sa mga umaatake ng makabuluhang kontrol sa mga nahawaang makina. Nagbibigay-daan ito sa pagpapatupad ng mga di-makatwirang utos at hindi pinaghihigpitang pag-access sa pagbasa/pagsusulat ng file. Ang backdoor ay nagpapanatili ng pakikipag-ugnayan sa isang command-and-control (C&C) server upang makatanggap ng mga tagubilin. Sa ngayon, lumilitaw na ang MarsSnake ay eksklusibong ginagamit ng UnsolicitedBooker, na minarkahan ito bilang isang signature tool ng banta ng aktor na ito.