MarsSnake后门

信息安全专家最近揭露了一个名为“UnsolicitedBooker”的与中国结盟的黑客组织的攻击手法。该威胁行为者利用一个名为“MarsSnake”的未知后门，将沙特阿拉伯一个未具名的国际组织作为目标。他们的活动持续多年，表明他们对这一特定目标有着持续的兴趣。

鱼叉式网络钓鱼：机票作为诱饵

该组织的渗透手段主要依赖于鱼叉式网络钓鱼邮件。这些邮件通常包含机票作为诱饵，诱骗受害者打开威胁性附件。其目标主要为亚洲、非洲和中东地区的政府机构。攻击者使用与航班相关的诱饵，使其网络钓鱼攻击更具说服力，且更具针对性。

已知恶意软件库和重叠身份

UnsolicitedBooker 的攻击以部署几个众所周知的后门为标志，其中包括：

• 奇诺西
• DeedRAT
• 毒藤
• BeRAT

这些恶意软件工具通常与中国网络间谍组织有关。此外，UnsolicitedBooker 与另一个名为 Space Pirates 的集群以及一个使用名为 Zardoor 的后门攻击沙特阿拉伯一家伊斯兰非营利组织的未确认组织存在一些共同特征。

最新攻击活动分析：MarsSnake 后门部署

最近的一次攻击活动发生在2025年1月，针对的是同一家沙特阿拉伯机构。此次攻击涉及一封冒充沙特阿拉伯航空公司的钓鱼邮件，其中包含航班预订附件。关键细节包括：

• 附件：伪装成机票的 Microsoft Word 文档
• 诱饵票的来源：根据学术研究共享网站上的公开 PDF 修改
• 感染过程：打开 Word 文档会触发 VBA 宏，该宏会将可执行文件 (smssdrvhost.exe) 写入受害者的系统
• 可执行文件的功能：充当新发现的后门 MarsSnake 的加载器

2023 年、2024 年和 2025 年的多次入侵尝试凸显了 UnsolicitedBooker 针对该组织的集中攻击活动。

MarsSnake：UnsolicitedBooker 武器库中的强大工具

MarsSnake 是一款功能齐全的后门程序，可帮助攻击者有效控制受感染的计算机。它能够执行任意命令并获得不受限制的文件读/写访问权限。该后门程序会与命令与控制 (C&C) 服务器保持联系，以接收指令。到目前为止，MarsSnake 似乎已被 UnsolicitedBooker 独家使用，这标志着它是该威胁行为者的标志性工具。