Čínští hackeři nasadili zadní vrátka MarsSnake při víceletém útoku na saúdskou organizaci

26 května, 2025

Experti odhalili taktiky čínské hackerské skupiny s názvem UnsolicitedBooker, která cílila na nejmenovanou mezinárodní organizaci v Saúdské Arábii s dosud nezdokumentovanými zadními vrátky pojmenovanými MarsSnake.

Společnost ESET, která jako první odhalila průniky této hackerské skupiny do zmíněné organizace v březnu 2023 a znovu o rok později, uvedla, že aktivita využívá spear-phishingové e-maily s letenkami jako návnadou k infiltraci vybraných cílů.

„UnsolicitedBooker rozesílá spear-phishingové e-maily, obvykle s letenkou jako zástěrkou, a jeho cíli jsou vládní organizace v Asii, Africe a na Blízkém východě,“ uvedla společnost ve své nejnovější zprávě o aktivitě APT za období od října 2024 do března 2025.

Útoky vedené touto skupinou se vyznačují použitím zadních vrátek jako Chinoxy, DeedRAT, Poison Ivy a BeRAT, které jsou široce využívány čínskými hackerskými skupinami.

UnsolicitedBooker má podle hodnocení překryvy s klastrem sledovaným jako Space Pirates a s neidentifikovaným klastrem hrozeb, který nasadil zadní vrátka s kódovým označením Zardoor proti islámské neziskové organizaci v Saúdské Arábii.

Nejnovější kampaň, kterou slovenská kyberbezpečnostní společnost zaznamenala v lednu 2025, zahrnovala zaslání phishingového e-mailu, který se vydával za Saudia Airlines, téže saúdské organizaci ohledně rezervace letu.

„K e-mailu je přiložen dokument Microsoft Word a zástupný obsah je letenka, která byla upravena, ale vychází z PDF, jež bylo dostupné online na webu Academia, platformě pro sdílení akademického výzkumu, která umožňuje nahrávání PDF souborů,“ uvedl ESET.

Po spuštění Word dokumentu dojde k aktivaci VBA makra, které dekóduje a zapíše do souborového systému spustitelný soubor („smssdrvhost.exe“), jenž následně slouží jako loader pro MarsSnake – zadní vrátka, která navazují komunikaci se vzdáleným serverem („contact.decenttoy[.]top“).

„Opakované pokusy o kompromitaci této organizace v letech 2023, 2024 a 2025 ukazují na silný zájem UnsolicitedBooker o tento konkrétní cíl,“ uvedl ESET.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Evropský automobilový trh se v dubnu nadechl, hybridy dominují

Dubnové registrace nových vozů v EU sice přinesly mírné meziroční oživení celého trhu, avšak detailnější pohled odhaluje přetrvávající dominanci hybridních pohonů. Růst elektromobilů zatím zaostává

Číst dále »

1 června, 2025

Tesla čelí v Evropě prudkému poklesu prodejů, zatímco čínská konkurence sílí

Prodeje automobilky Tesla v Evropě a Spojeném království se v dubnu propadly téměř o polovinu. Vyplývá to z čerstvých dat, která v úterý zveřejnilo Evropské

Číst dále »

1 června, 2025

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

AVERIA.NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom