Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) MarsSnake-Hintertür

MarsSnake-Hintertür

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren
Übersetzen Sie in:

Informationssicherheitsexperten haben kürzlich die Taktiken einer mit China verbündeten Hackergruppe namens UnsolicitedBooker aufgedeckt. Dieser Angreifer zielte mithilfe einer bislang unbekannten Hintertür namens MarsSnake auf eine unbekannte internationale Organisation in Saudi-Arabien ab. Ihre Aktivitäten erstrecken sich über mehrere Jahre und zeugen von anhaltendem Interesse an diesem speziellen Ziel.

Spear-Phishing der besonderen Art: Flugtickets als Köder

Die Infiltrationsmethode der Gruppe basiert stark auf Spear-Phishing-E-Mails. Diese E-Mails enthalten oft Flugtickets als Köder, um die Opfer zum Öffnen bedrohlicher Anhänge zu verleiten. Ziele sind vor allem Regierungsorganisationen in Asien, Afrika und dem Nahen Osten. Der Einsatz von Flugtickets als Köder macht die Phishing-Versuche der Angreifer besonders überzeugend und maßgeschneidert.

Bekanntes Malware-Arsenal und überlappende Identitäten

Die Angriffe von UnsolicitedBooker zeichnen sich durch den Einsatz mehrerer bekannter Hintertüren aus, darunter:

  • Chinoxy
  • DeedRAT
  • Giftefeu
  • BeRAT

Diese Schadsoftware wird häufig mit chinesischen Cyberspionagegruppen in Verbindung gebracht. Darüber hinaus weist UnsolicitedBooker Ähnlichkeiten mit einem anderen Cluster namens Space Pirates und einer unbekannten Gruppe auf, die eine Hintertür namens Zardoor gegen eine islamische Non-Profit-Organisation in Saudi-Arabien einsetzte.

Neueste Kampagnenanalyse: Der Einsatz der MarsSnake-Backdoor

Die jüngste Kampagne vom Januar 2025 zielte auf dieselbe saudi-arabische Organisation ab. Der Angriff umfasste eine Phishing-E-Mail, die sich als Saudia Airlines ausgab und einen Anhang mit einer Flugbuchung enthielt. Wichtige Details:

  • Der Anhang : Ein als Flugticket getarntes Microsoft Word-Dokument
  • Ursprung des Lockvogeltickets : Modifiziert aus einem öffentlich verfügbaren PDF auf der Forschungsaustausch-Website von Academia
  • Infektionsprozess : Das Öffnen des Word-Dokuments löst ein VBA-Makro aus, das eine ausführbare Datei (smssdrvhost.exe) auf das System des Opfers schreibt
  • Funktion der ausführbaren Datei : Fungiert als Loader für MarsSnake, die neu entdeckte Hintertür
  • Kommunikation : MarsSnake verbindet sich mit einem Remote-Server (contact.decenttoy.top), um Befehle zu empfangen

Wiederholte Einbruchsversuche in den Jahren 2023, 2024 und 2025 verdeutlichen die gezielte Kampagne von UnsolicitedBooker gegen diese Organisation.

MarsSnake: Ein leistungsstarkes Tool im Arsenal von UnsolicitedBooker

MarsSnake ist eine voll funktionsfähige Backdoor, die Angreifern erhebliche Kontrolle über infizierte Rechner gibt. Sie ermöglicht die Ausführung beliebiger Befehle und uneingeschränkten Lese-/Schreibzugriff auf Dateien. Die Backdoor steht mit einem Command-and-Control-Server (C&C) in Kontakt, um Anweisungen zu empfangen. Bisher scheint MarsSnake ausschließlich von UnsolicitedBooker verwendet zu werden, was es als charakteristisches Tool dieses Bedrohungsakteurs kennzeichnet.

Im Trend

Am häufigsten gesehen

Wird geladen...