Бекдор MarsSnake
Експерти з інформаційної безпеки нещодавно розкрили тактику пов'язаної з Китаєм хакерської групи під назвою UnsolicitedBooker. Цей зловмисник атакував неназвану міжнародну організацію в Саудівській Аравії, використовуючи раніше невідомий бекдор під назвою MarsSnake. Їхня діяльність охоплює кілька років, що свідчить про стійкий інтерес до цієї конкретної цілі.
Зміст
Спеціальний фішинг з родзинкою: авіаквитки як приманка
Метод проникнення групи значною мірою спирається на фішингові електронні листи. Ці листи часто містять авіаквитки як приманку, щоб заманити жертв до відкриття вкладень із загрозами. Цілями є переважно урядові організації в Азії, Африці та на Близькому Сході. Використання зловмисниками приманок, пов’язаних із польотами, робить їхні фішингові спроби особливо переконливими та цілеспрямованими.
Арсенал відомого шкідливого програмного забезпечення та перекриваючі ідентифікаційні дані
Атаки UnsolicitedBooker характеризуються розгортанням кількох відомих бекдорів, зокрема:
- Чінокси
- DeedRAT
- Отруйний плющ
- БеРАТ
Ці шкідливі інструменти зазвичай пов'язані з китайськими групами кібершпигунства. Більше того, UnsolicitedBooker має спільні характеристики з іншим кластером під назвою Space Pirates та невстановленою групою, яка використовувала бекдор під назвою Zardoor проти ісламської некомерційної організації в Саудівській Аравії.
Останній аналіз кампанії: розгортання бекдору MarsSnake
Найновіша кампанія, датована січнем 2025 року, була спрямована на ту саму організацію Саудівської Аравії. Атака включала фішинговий електронний лист, який видавав себе за Saudia Airlines із вкладенням для бронювання рейсу. Ключові деталі включають:
- Додаток : документ Microsoft Word, замаскований під авіаквиток
- Походження квитка-приманки : Змінено з загальнодоступного PDF-файлу на веб-сайті Academia для обміну дослідженнями
- Процес зараження : Відкриття документа Word запускає макрос VBA, який записує виконуваний файл (smssdrvhost.exe) у систему жертви.
- Функція виконуваного файлу : Виконує роль завантажувача для MarsSnake, нещодавно виявленого бекдору.
- Зв'язок : MarsSnake підключається до віддаленого сервера (contact.decenttoy.top) для отримання команд
Неодноразові спроби вторгнення у 2023, 2024 та 2025 роках підкреслюють цілеспрямовану кампанію UnsolicitedBooker проти цієї організації.
MarsSnake: Потужний інструмент в арсеналі UnsolicitedBooker
MarsSnake — це повнофункціональний бекдор, який надає зловмисникам значний контроль над зараженими машинами. Він дозволяє виконувати довільні команди та необмежений доступ до читання/запису файлів. Бекдор підтримує зв'язок із командно-контрольним (C&C) сервером для отримання інструкцій. Наразі MarsSnake, схоже, використовується виключно UnsolicitedBooker, що позначає його як сигнатурний інструмент цього зловмисника.
