MarsSnakeバックドア
情報セキュリティの専門家は最近、UnsolicitedBookerとして知られる中国と連携したハッキンググループの戦術を明らかにしました。この脅威グループは、これまで知られていなかったMarsSnakeと呼ばれるバックドアを用いて、サウジアラビアの無名の国際組織を標的としました。彼らの活動は数年にわたっており、この特定の標的に対する継続的な関心を示しています。
目次
ひねりを効かせたスピアフィッシング:航空券を餌に
このグループの侵入方法は、スピアフィッシングメールを多用しています。これらのメールには、脅迫的な添付ファイルを開かせるためのおとりとして、航空券の情報が添付されていることがよくあります。標的は主にアジア、アフリカ、中東の政府機関です。攻撃者は航空券関連のおとりを利用することで、フィッシング攻撃を非常に説得力のあるものにし、攻撃者に合わせた巧妙な仕掛けを施しています。
既知のマルウェアの武器庫と重複するID
UnsolicitedBooker の攻撃は、次のようないくつかのよく知られたバックドアを展開する特徴があります。
- チノキシ
- ディードラット
- ポイズンアイビー
- ベラト
これらのマルウェアツールは、中国のサイバースパイグループと関連付けられることが多い。さらに、UnsolicitedBookerは、Space Piratesと呼ばれる別のクラスターや、サウジアラビアのイスラム系非営利団体に対してZardoorと呼ばれるバックドアを使用した正体不明のグループと共通の特徴を持つ。
最新のキャンペーン分析:MarsSnakeバックドアの展開
2025年1月に発生した最新の攻撃キャンペーンは、同じサウジアラビアの組織を標的としていました。この攻撃では、サウディア航空を装い、航空券予約の添付ファイルが付いたフィッシングメールが使用されました。主な詳細は以下の通りです。
- 添付ファイル:航空券を装ったMicrosoft Word文書
- デコイチケットの由来:アカデミア研究共有ウェブサイトで公開されているPDFから改変
- 感染プロセス: Word文書を開くと、VBAマクロが起動し、被害者のシステムに実行ファイル(smssdrvhost.exe)が書き込まれる。
- 実行ファイルの機能: 新たに発見されたバックドアであるMarsSnakeのローダーとして機能する
2023 年、2024 年、2025 年に繰り返し侵入を試みたことは、UnsolicitedBooker がこの組織に対して集中的なキャンペーンを展開していることを浮き彫りにしています。
MarsSnake: UnsolicitedBookerの強力な武器
MarsSnakeは、感染したマシンに対する攻撃者の強力な制御を可能にするフル機能のバックドアです。任意のコマンドの実行と、無制限のファイル読み取り/書き込みアクセスを可能にします。バックドアはコマンドアンドコントロール(C&C)サーバーとの通信を維持し、指示を受信します。これまでのところ、MarsSnakeはUnsolicitedBookerによってのみ使用されているようで、この脅威アクターのシグネチャツールとして利用されています。
