Samurai Backdoor

До Mezo през Backdoors, Advanced Persistent Threat (APT)г

Превод на:

Заплахата Samurai Backdoor е част от заплашителния арсенал на неизвестна досега група APT (Advanced Persistent Threat). Киберпрестъпниците започнаха дейността си сравнително скоро, като първите признаци на дейността им бяха открити през декември 2020 г. Повече подробности за групата, нейните цели и инструменти за злонамерен софтуер бяха разкрити в доклад на изследователи. Изследователите на киберсигурността заявяват, че проследяват тази киберпрестъпна организация като ToddyCat APT.

Първоначално ToddyCat APT беше фокусиран върху компрометирането на избрани Exchange сървъри, разположени в Тайван и Виетнам. Въпреки това, скоро след това те започнаха да се насочват към множество организации както в Европа, така и в Азия, като злоупотребяват с уязвимостта ProxyLogon. Един от крайните полезни товари, доставяни на компрометираните системи, е Samurai Backdoor.

За да подготвят нарушената система за полезни товари на по-късен етап, участниците в заплахата първо разгръщат заплаха с капка. Той е отговорен за инсталирането на другите застрашаващи компоненти и създаването на няколко ключа на системния регистър, способни да принудят легитимния процес „svchost.exe“ да зареди зловредния софтуер Samurai. Заплахата е модулен бекдор, който е оборудван с няколко техники за анти-анализ. Изследователите на infosec отбелязват, че Samurai е замъглил със специфичен алгоритъм, на няколко от функциите му са присвоени произволни имена и включва множество цикли и случаи на превключване, които причиняват скокове между инструкциите.

Различните модули на заплахата са предназначени за справяне с конкретни задачи в зависимост от получените команди. Досега идентифицираните повредени модули са в състояние да изпълняват произволни команди чрез cmd, да манипулират файловата система и да качват избрани файлове от нарушени системи. Самурай също може да установи връзка с отдалечен IP адрес и TCP порт. Ако бъде получена съответната команда, злонамереният софтуер също може да препрати полезен товар, получен чрез HTTP заявка, до отдалечения IP адрес или да извлече такъв от там.