MarsSnake Arka Kapısı
Infosec uzmanları yakın zamanda UnsolicitedBooker olarak bilinen Çin yanlısı bir hacker grubunun taktiklerini ortaya çıkardı. Bu tehdit aktörü, daha önce bilinmeyen MarsSnake adlı bir arka kapı kullanarak Suudi Arabistan'daki ismi açıklanmayan uluslararası bir organizasyonu hedef aldı. Faaliyetleri birkaç yılı kapsıyor ve bu belirli hedefe karşı sürekli bir ilgi gösteriyor.
İçindekiler
Farklı Bir Mızraklı Kimlik Avı: Yem Olarak Uçak Biletleri
Grubun sızma yöntemi büyük ölçüde spear-phishing e-postalarına dayanmaktadır. Bu e-postalar genellikle kurbanları tehdit edici ekleri açmaya çekmek için tuzak olarak uçak biletleri içerir. Hedefler öncelikle Asya, Afrika ve Orta Doğu'daki hükümet kuruluşlarıdır. Saldırganların uçuşla ilgili yemleri kullanması, kimlik avı girişimlerini özellikle ikna edici ve özel hale getirir.
Bilinen Kötü Amaçlı Yazılım Cephaneliği ve Çakışan Kimlikler
UnsolicitedBooker'ın saldırıları, aşağıdakiler de dahil olmak üzere iyi bilinen birkaç arka kapının konuşlandırılmasıyla işaretlenmiştir:
- Çinoksi
- TapuRAT
- Zehirli Sarmaşık
- BeRAT
Bu kötü amaçlı yazılım araçları genellikle Çin siber casusluk gruplarıyla bağlantılıdır. Dahası, UnsolicitedBooker, Uzay Korsanları adlı başka bir küme ve Suudi Arabistan'daki bir İslami kâr amacı gütmeyen kuruluşa karşı Zardoor adlı bir arka kapı kullanan kimliği belirsiz bir grupla aynı özellikleri paylaşmaktadır.
Son Kampanya Ayrıntısı: MarsSnake Arka Kapı Dağıtımı
Ocak 2025 tarihli en son kampanya aynı Suudi Arabistan örgütünü hedef aldı. Saldırı, uçuş rezervasyonu eki olan Suudi Havayolları'nı taklit eden bir kimlik avı e-postasını içeriyordu. Önemli ayrıntılar şunlardır:
- Ek : Uçak bileti kılığında bir Microsoft Word belgesi
- Sahte biletin kökeni : Academia araştırma paylaşım web sitesinde herkese açık bir PDF'den değiştirilmiştir
- Enfeksiyon süreci : Word belgesini açmak, kurbanın sistemine yürütülebilir bir dosya (smssdrvhost.exe) yazan bir VBA makrosunu tetikler
- Yürütülebilir dosyanın işlevi : Yeni keşfedilen arka kapı olan MarsSnake için bir yükleyici görevi görür
- İletişim : MarsSnake komutları almak için uzak bir sunucuya (contact.decenttoy.top) bağlanır
2023, 2024 ve 2025 yıllarında tekrarlanan saldırı girişimleri, UnsolicitedBooker'ın bu örgüte karşı odaklanmış kampanyasını vurgulamaktadır.
MarsSnake: İstenmeyen Booker’ın Cephaneliğinde Güçlü Bir Araç
MarsSnake, saldırganlara enfekte makineler üzerinde önemli bir kontrol sağlayan tam özellikli bir arka kapıdır. Keyfi komutların yürütülmesini ve kısıtlanmamış dosya okuma/yazma erişimini sağlar. Arka kapı, talimatları almak için bir komut ve kontrol (C&C) sunucusuyla iletişimi sürdürür. Şimdiye kadar, MarsSnake yalnızca UnsolicitedBooker tarafından kullanılıyor gibi görünüyor ve bu da onu bu tehdit aktörünün imza aracı olarak işaretliyor.
