Threat Database Backdoors Samurai Backdoor

Samurai Backdoor

تهديد Samurai Backdoor هو جزء من ترسانة التهديد لمجموعة APT (Advanced Persistent Threat) غير المعروفة سابقًا. بدأ المجرمون الإلكترونيون أنشطتهم قريبًا نسبيًا مع اكتشاف العلامات الأولى لعملياتهم في ديسمبر 2020. تم الكشف عن مزيد من التفاصيل حول المجموعة وأهدافها وأدوات البرامج الضارة في تقرير صادر عن الباحثين. يذكر باحثو الأمن السيبراني أنهم يتتبعون هذه المنظمة المجرمة عبر الإنترنت باسم ToddyCat APT.

في البداية ، ركزت ToddyCat APT على المساومة على خوادم Exchange المحددة الموجودة في تايوان وفيتنام. ومع ذلك ، بعد فترة وجيزة ، بدأوا في استهداف العديد من المنظمات في كل من أوروبا وآسيا من خلال إساءة استخدام ثغرة ProxyLogon. يعد Samurai Backdoor أحد الحمولات في المرحلة النهائية التي يتم تسليمها إلى الأنظمة المخترقة.

لتحضير النظام المخترق للحمولات في المرحلة اللاحقة ، ينشر الفاعلون المهددون أولاً تهديد القطارة. وهي مسؤولة عن تثبيت المكونات الأخرى المهددة وإنشاء العديد من مفاتيح التسجيل القادرة على إجبار عملية 'svchost.exe' الشرعية على تحميل برنامج Samurai الضار. التهديد عبارة عن باب خلفي معياري مزود بالعديد من تقنيات التحليل المضادة. لاحظ باحثو إنفوسيك أن الساموراي قد طمس مع خوارزمية محددة ، والعديد من وظائفه يتم تخصيص أسماء عشوائية لها ، ويتضمن حلقات متعددة وحالات تبديل تسبب القفزات بين التعليمات.

تم تصميم الوحدات النمطية المختلفة للتهديد للتعامل مع مهام محددة ، اعتمادًا على الأوامر المتلقاة. حتى الآن ، فإن الوحدات النمطية التالفة المحددة قادرة على تنفيذ أوامر عشوائية عبر cmd ، ومعالجة نظام الملفات ، وتحميل الملفات المحددة من الأنظمة المخترقة. يمكن لـ Samurai أيضًا إنشاء اتصال بعنوان IP بعيد ومنفذ TCP. إذا تم استلام الأمر المقابل ، يمكن للبرنامج الضار أيضًا إعادة توجيه حمولة مستلمة عبر طلب HTTP إلى عنوان IP البعيد ، أو جلب واحد من هناك.

الشائع

الأكثر مشاهدة

جار التحميل...