Связанная с Китаем хакерская группировка под названием UnsolicitedBooker в течение трех лет вела кампанию кибершпионажа против международной организации в Саудовской Аравии. Источник: Izoologic
В ходе этой многолетней операции злоумышленники использовали ранее не задокументированный вредоносный бэкдор MarsSnake. Фирма по кибербезопасности впервые обнаружила вторжения в марте 2023 года, а затем вновь зафиксировала атаки в начале 2024 года.
Группа проникала в компьютерные системы с помощью фишинговых писем, замаскированных под бронирование авиабилетов. Среди целей злоумышленников были правительственные организации в Азии, Африке и на Ближнем Востоке. Инструментарий хакеров включал несколько бэкдоров, таких как Chinoxy, DeedRAT, Poison Ivy и BeRAT, которые часто связывают с китайскими группами, поддерживаемыми государством.
Исследователи считают, что UnsolicitedBooker пересекается с группировкой Space Pirates и еще одной неизвестной группой, ранее использовавшей вредоносный бэкдор Zardoor против некоммерческой организации в Саудовской Аравии. Основной тактикой UnsolicitedBooker является фишинг. В январе 2025 года была зафиксирована новая волна атак, когда хакеры отправили письмо, выдавая себя за представителей региональной авиакомпании. В письме содержался файл Microsoft Word с поддельным авиабилетом, созданным на основе общедоступного PDF-документа с академической платформы.
Читайте также: NYT: Иранские хакеры атакуют оборонные и разведывательные структуры противников
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet