Cửa sau của MarsSnake
Các chuyên gia an ninh thông tin gần đây đã tiết lộ chiến thuật của một nhóm tin tặc liên kết với Trung Quốc được gọi là UnsolicitedBooker. Kẻ tấn công này đã nhắm mục tiêu vào một tổ chức quốc tế chưa được nêu tên ở Ả Rập Xê Út bằng một cửa hậu chưa được biết đến trước đây có tên là MarsSnake. Hoạt động của chúng kéo dài nhiều năm, cho thấy sự quan tâm liên tục đối với mục tiêu cụ thể này.
Mục lục
Spear-Phishing với một bước ngoặt: Vé máy bay làm mồi nhử
Phương pháp xâm nhập của nhóm này chủ yếu dựa vào các email lừa đảo. Những email này thường bao gồm vé máy bay làm mồi nhử để dụ nạn nhân mở tệp đính kèm đe dọa. Mục tiêu chủ yếu là các tổ chức chính phủ trên khắp Châu Á, Châu Phi và Trung Đông. Việc kẻ tấn công sử dụng mồi nhử liên quan đến chuyến bay khiến cho các nỗ lực lừa đảo của chúng trở nên đặc biệt thuyết phục và được thiết kế riêng.
Kho phần mềm độc hại đã biết và danh tính trùng lặp
Các cuộc tấn công của UnsolicitedBooker được đánh dấu bằng việc triển khai một số cửa hậu nổi tiếng, bao gồm:
- Chinoxy
- DeedRAT
- Cây thường xuân độc
- BeRAT
Các công cụ phần mềm độc hại này thường liên quan đến các nhóm gián điệp mạng Trung Quốc. Hơn nữa, UnsolicitedBooker có chung đặc điểm với một nhóm khác có tên là Space Pirates và một nhóm không xác định đã sử dụng một cửa hậu có tên là Zardoor chống lại một tổ chức phi lợi nhuận Hồi giáo ở Ả Rập Saudi.
Phân tích chiến dịch mới nhất: Triển khai Backdoor MarsSnake
Chiến dịch gần đây nhất, có niên đại vào tháng 1 năm 2025, nhắm vào cùng một tổ chức của Ả Rập Saudi. Cuộc tấn công liên quan đến một email lừa đảo mạo danh Saudia Airlines với tệp đính kèm đặt vé máy bay. Các chi tiết chính bao gồm:
- Tệp đính kèm : Một tài liệu Microsoft Word được ngụy trang thành vé máy bay
- Nguồn gốc của vé mồi : Đã sửa đổi từ PDF có sẵn công khai trên trang web chia sẻ nghiên cứu của Academia
- Quá trình lây nhiễm : Mở tài liệu Word sẽ kích hoạt macro VBA ghi tệp thực thi (smssdrvhost.exe) vào hệ thống của nạn nhân
- Chức năng của tệp thực thi : Hoạt động như một trình tải cho MarsSnake, cửa hậu mới được phát hiện
- Giao tiếp : MarsSnake kết nối với máy chủ từ xa (contact.decenttoy.top) để nhận lệnh
Những nỗ lực xâm nhập liên tục vào năm 2023, 2024 và 2025 làm nổi bật chiến dịch tập trung của UnsolicitedBooker chống lại tổ chức này.
MarsSnake: Một công cụ mạnh mẽ trong kho vũ khí của UnsolicitedBooker
MarsSnake là một backdoor đầy đủ tính năng cho phép kẻ tấn công kiểm soát đáng kể các máy bị nhiễm. Nó cho phép thực hiện các lệnh tùy ý và quyền truy cập đọc/ghi tệp không hạn chế. Backdoor duy trì liên lạc với máy chủ chỉ huy và kiểm soát (C&C) để nhận hướng dẫn. Cho đến nay, MarsSnake dường như chỉ được UnsolicitedBooker sử dụng, đánh dấu nó là công cụ đặc trưng của tác nhân đe dọa này.
