UnsolicitedBooker 针对中亚电信使用 LuciDoor 与 MarsSnake 后门
Source: The Hacker News
UnsolicitedBooker 活动在中亚地区
已观察到名为 UnsolicitedBooker 的威胁活动集针对吉尔吉斯斯坦和塔吉克斯坦的电信公司展开攻击,这标志着其从先前针对沙特阿拉伯实体的攻击方向的转变。
根据 Positive Technologies 上周发布的报告,这些攻击涉及部署两个代号为 LuciDoor 和 MarsSnake 的不同后门。
“该组织使用了几种独特且罕见的中国来源工具,”研究员 Alexander Badaev 和 Maxim Shamanov 说。
— Positive Technologies report
UnsolicitedBooker 最早由 ESET 于 2025 年 5 月记录,归因于一个针对沙特阿拉伯未具名国际组织的网络攻击,该攻击使用了名为 MarsSnake 的后门。该组织被评估自 2023 年 3 月起即已活跃,并且有针对亚洲、非洲和中东地区组织的历史。
进一步分析发现该组织与另外两个集群存在战术重叠,包括 Space Pirates 以及一个尚未归属的针对沙特阿拉伯的活动,该活动使用另一个名为 Zardoor 的后门。
俄罗斯网络安全厂商记录的最新一批攻击于 2025 年 9 月下旬针对吉尔吉斯组织,使用包含 Microsoft Office 文档的钓鱼邮件。打开文档后,文档会提示受害者 Enable Content,以便恶意宏得以运行。
- 虽然文档显示的是电信运营商的资费计划,但宏会悄悄投放一个名为 LuciLoad 的 C++ 恶意加载器,随后交付 LuciDoor。
- 2025 年 11 月下旬观察到的第二次攻击使用了相同的投递方式,但采用了不同的加载器 MarsSnakeLoader 来部署 MarsSnake。
截至 2026 年 1 月,UnsolicitedBooker 仍利用钓鱼邮件针对塔吉克斯坦的公司。整体攻击链保持不变,但恶意链接现在指向诱饵文档,而不再直接附加文档。
后门恶意软件
LuciDoor
- 语言: C++
- 功能:
- 与指挥控制(C2)服务器建立通信。
- 收集基本系统信息并以加密形式外泄。
- 解析服务器响应,以通过
cmd.exe执行命令、写入文件和上传文件。
文档中的宏
MarsSnake
- 功能:
- 收集系统元数据。
- 执行任意命令。
- 读取或写入磁盘上的任何文件。
Positive Technologies 还发现 MarsSnake 被用于针对中国的攻击。初始感染向量是伪装成 Microsoft Word 文档的 Windows 快捷方式(*.doc.lnk)。该快捷方式触发批处理脚本,启动 Visual Basic 脚本,进而在无需单独加载器的情况下启动 MarsSnake。
诱饵文件似乎基于公开的渗透测试工具 FTPlnk_phishing 关联的 LNK 文件,依据相同的创建时间戳和机器 ID 标记可见。类似的 LNK 文件在 2022 年被 Mustang Panda 组织用于针对泰国的攻击。
“在他们的攻击中,该组织使用了中国来源的稀有工具,” Positive Technologies 说。
“有趣的是,最初该组织使用了我们称之为 LuciDoor 的后门,但随后转而使用 MarsSnake。然而在 2026 年,该组织又掉头,重新使用 LuciDoor。”
“此外,在至少一个案例中,我们观察到攻击者使用被入侵的路由器作为 C2 服务器,并且他们的基础设施在某些攻击中模仿了俄罗斯的特征。”
PseudoSticky 和 Cloud Atlas 目标俄罗斯
此披露显示,一个此前未知的威胁行为者故意模仿一个亲乌克兰黑客组织 Sticky Werewolf(又名 Angry Likho、MimiStick 和 PhaseShifters)的战术,以攻击俄罗斯组织。
威胁形势更新 – 俄罗斯目标
新的威胁组织 PseudoSticky 自 2025年11月 起活跃。受害者通常通过包含恶意附件的钓鱼邮件感染,这些附件随后部署特洛伊木马 RemcosRAT 和 DarkTrack RAT,用于全面的数据窃取和远程控制。
有迹象表明,攻击者利用大型语言模型(LLM)开发攻击链,通过 PureCrypter 投放 DarkTrack RAT。
“更深入的分析揭示了基础设施、恶意软件实现以及各个战术要素的差异,这让我们怀疑两个组织之间可能没有直接关联,而是出于有意的模仿,”
— 俄罗斯安全供应商 F6
相关活动:Cloud Atlas
另一黑客组织 Cloud Atlas 也针对俄罗斯实体。他们使用带有恶意 Word 文档的钓鱼邮件来分发名为 VBShower 和 VBCloud 的自定义恶意软件。
“打开后,恶意文档会从文档流中的一个 C2 指定的远程模板加载,”
— 网络安全公司 Solar
“该模板利用 CVE‑2018‑0802 漏洞。随后下载带有备用流的恶意文件,即 VBShower。”
Source
可视化参考
保持了解
觉得这篇文章有趣吗?关注我们获取更多独家内容: