Samurai Backdoor
Ang banta ng Samurai Backdoor ay bahagi ng nagbabantang arsenal ng isang dating hindi kilalang APT (Advanced Persistent Threat) na grupo. Ang mga cybercriminal ay nagsimula sa kanilang mga aktibidad nang medyo malapit nang matukoy ang mga unang senyales ng kanilang mga operasyon noong Disyembre 2020. Higit pang mga detalye tungkol sa grupo, mga target nito, at mga tool sa malware, ang inihayag sa isang ulat ng mga mananaliksik. Sinasabi ng mga mananaliksik sa cybersecurity na sinusubaybayan nila ang cybercriminal na organisasyong ito bilang ToddyCat APT.
Sa una, ang ToddyCat APT ay nakatuon sa pagkompromiso sa mga piling Exchange server na matatagpuan sa Taiwan at Vietnam. Gayunpaman, pagkatapos noon, nagsimula silang mag-target ng maraming organisasyon sa parehong Europe at Asia sa pamamagitan ng pag-abuso sa kahinaan ng ProxyLogon. Ang isa sa mga end-stage na payload na inihatid sa mga nakompromisong system ay ang Samurai Backdoor.
Upang ihanda ang nalabag na sistema para sa mga huling yugto ng mga payload, ang mga aktor ng banta ay unang nag-deploy ng pagbabanta ng dropper. Responsable ito sa pag-install ng iba pang mga nagbabantang bahagi at paglikha ng ilang Registry key na may kakayahang pilitin ang lehitimong proseso ng 'svchost.exe' na i-load ang Samurai malware. Ang banta ay isang modular backdoor na nilagyan ng ilang mga diskarte sa anti-analysis. Napansin ng mga mananaliksik ng infosec na ang Samurai ay na-obfuscate ng isang partikular na algorithm, ang ilan sa mga function nito ay itinalaga ng mga random na pangalan, at kabilang dito ang maraming mga loop at switch case na nagdudulot ng mga pagtalon sa pagitan ng mga tagubilin.
Ang iba't ibang mga module ng pagbabanta ay idinisenyo upang pangasiwaan ang mga partikular na gawain, depende sa natanggap na mga utos. Sa ngayon, ang mga natukoy na sirang module ay may kakayahang magsagawa ng mga arbitrary na utos sa pamamagitan ng cmd, pagmamanipula sa file system, at pag-upload ng mga napiling file mula sa mga nalabag na system. Ang Samurai ay maaari ding magtatag ng isang koneksyon sa isang malayong IP address at TCP port. Kung natanggap ang kaukulang command, maaari ding ipasa ng malware ang isang payload na natanggap sa pamamagitan ng HTTP na kahilingan sa malayong IP address, o kumuha ng isa mula doon.
