MarsSnake後門

資安專家最近揭露了與中國結盟的駭客組織 UnsolicitedBooker 的策略。該威脅行為者使用一種名為 MarsSnake 的未知後門攻擊了沙烏地阿拉伯的一個未具名國際組織。他們的活動持續多年，顯示出對這一特定目標的持續興趣。

魚叉式網路釣魚：機票當誘餌

該組織的滲透方法嚴重依賴魚叉式網路釣魚電子郵件。這些電子郵件通常包含機票作為誘餌，以引誘受害者開啟威脅性附件。目標主要是亞洲、非洲和中東的政府組織。攻擊者使用與航班相關的誘餌，使得他們的網路釣魚攻擊特別具有說服力和針對性。

已知惡意軟體庫和重疊身份

UnsolicitedBooker 的攻擊以部署幾個眾所周知的後門為標誌，其中包括：

• 奇諾西
• DeedRAT
• 毒藤
• BeRAT

這些惡意軟體工具通常與中國網路間諜組織有關。此外，UnsolicitedBooker 與另一個名為 Space Pirates 的集群以及一個使用名為 Zardoor 的後門針對沙烏地阿拉伯一家伊斯蘭非營利組織的身份不明的組織具有共同特徵。

最新攻擊活動分析：MarsSnake 後門部署

最近的一次攻擊活動發生在 2025 年 1 月，目標是同一個沙烏地阿拉伯組織。這次攻擊涉及一封冒充沙烏地阿拉伯航空公司並帶有航班預訂附件的網路釣魚電子郵件。關鍵細節包括：

• 附件：偽裝成機票的 Microsoft Word 文件
• 誘餌票的來源：根據學術研究共享網站上的公開 PDF 修改
• 感染過程：開啟 Word 文件會觸發 VBA 巨集，該巨集會將可執行檔 (smssdrvhost.exe) 寫入受害者的系統
• 可執行檔的功能：充當新發現的後門 MarsSnake 的載入器

2023 年、2024 年和 2025 年的多次入侵嘗試凸顯了 UnsolicitedBooker 針對該組織的集中攻擊活動。

MarsSnake：UnsolicitedBooker 武器庫中的強大工具

MarsSnake 是一個功能齊全的後門，可以讓攻擊者對受感染的機器進行有效控制。它可以執行任意命令和不受限制的文件讀取/寫入存取。後門與命令和控制 (C&C) 伺服器保持聯繫以接收指令。到目前為止，MarsSnake 似乎僅由 UnsolicitedBooker 使用，這標誌著它是該威脅行為者的標誌性工具。