Samurai Backdoor
সামুরাই ব্যাকডোর হুমকি একটি পূর্বে অজানা APT (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপের ভয়ঙ্কর অস্ত্রাগারের অংশ। সাইবার অপরাধীরা 2020 সালের ডিসেম্বরে তাদের অপারেশনের প্রথম লক্ষণ সনাক্ত হওয়ার সাথে তুলনামূলকভাবে শীঘ্রই তাদের কার্যক্রম শুরু করে। গবেষকদের একটি প্রতিবেদনে গ্রুপ, এর লক্ষ্যবস্তু এবং ম্যালওয়্যার সরঞ্জাম সম্পর্কে আরও বিশদ প্রকাশ করা হয়েছে। সাইবারসিকিউরিটি গবেষকরা বলছেন যে তারা এই সাইবার অপরাধী সংস্থাটিকে টডিক্যাট এপিটি হিসাবে ট্র্যাক করছে।
প্রাথমিকভাবে, ToddyCat APT তাইওয়ান এবং ভিয়েতনামে অবস্থিত নির্বাচিত এক্সচেঞ্জ সার্ভারগুলির সাথে আপস করার উপর দৃষ্টি নিবদ্ধ করেছিল। যাইহোক, তার পরেই, তারা প্রক্সিলগন দুর্বলতার অপব্যবহার করে ইউরোপ এবং এশিয়া উভয় দেশেই অসংখ্য প্রতিষ্ঠানকে লক্ষ্যবস্তু করা শুরু করে। আপোসকৃত সিস্টেমে সরবরাহ করা শেষ পর্যায়ের পেলোডগুলির মধ্যে একটি হল সামুরাই ব্যাকডোর।
পরবর্তী পর্যায়ের পেলোডের জন্য লঙ্ঘিত সিস্টেম প্রস্তুত করতে, হুমকি অভিনেতারা প্রথমে একটি ড্রপার হুমকি মোতায়েন করে। সামুরাই ম্যালওয়্যার লোড করার জন্য বৈধ 'svchost.exe' প্রক্রিয়াকে বাধ্য করতে সক্ষম অন্যান্য হুমকিমূলক উপাদানগুলি ইনস্টল করার এবং বেশ কয়েকটি রেজিস্ট্রি কী তৈরি করার জন্য এটি দায়ী৷ হুমকি হল একটি মডুলার ব্যাকডোর যা বেশ কিছু অ্যান্টি-অ্যানালাইসিস কৌশল দিয়ে সজ্জিত। ইনফোসেক গবেষকরা নোট করেছেন যে সামুরাই একটি নির্দিষ্ট অ্যালগরিদম দিয়ে অস্পষ্ট করেছে, এর বেশ কয়েকটি ফাংশন এলোমেলো নাম বরাদ্দ করা হয়েছে এবং এতে একাধিক লুপ এবং সুইচ কেস রয়েছে যা নির্দেশের মধ্যে লাফ দেয়।
হুমকির বিভিন্ন মডিউল প্রাপ্ত কমান্ডের উপর নির্ভর করে নির্দিষ্ট কাজগুলি পরিচালনা করার জন্য ডিজাইন করা হয়েছে। এখনও অবধি, চিহ্নিত করাপ্টেড মডিউলগুলি cmd এর মাধ্যমে নির্বিচারে আদেশ কার্যকর করতে, ফাইল সিস্টেমকে ম্যানিপুলেট করতে এবং লঙ্ঘিত সিস্টেম থেকে নির্বাচিত ফাইলগুলি আপলোড করতে সক্ষম। সামুরাই একটি দূরবর্তী আইপি ঠিকানা এবং টিসিপি পোর্টের সাথে একটি সংযোগ স্থাপন করতে পারে। সংশ্লিষ্ট কমান্ড প্রাপ্ত হলে, ম্যালওয়্যারটি HTTP অনুরোধের মাধ্যমে প্রাপ্ত একটি পেলোডকে দূরবর্তী আইপি ঠিকানায় ফরোয়ার্ড করতে পারে, বা সেখান থেকে একটি আনতে পারে।
