Samurai Backdoor

L'amenaça Samurai Backdoor forma part de l'amenaçador arsenal d'un grup d'APT (amenaça persistent avançada) desconegut. Els ciberdelinqüents van començar les seves activitats relativament aviat amb els primers indicis de les seves operacions detectats el desembre de 2020. Més detalls sobre el grup, els seus objectius i les eines de programari maliciós es van revelar en un informe dels investigadors. Els investigadors de ciberseguretat afirmen que estan fent un seguiment d'aquesta organització cibercriminal com a ToddyCat APT.

Inicialment, el ToddyCat APT es va centrar a comprometre els servidors Exchange seleccionats situats a Taiwan i Vietnam. Tanmateix, poc després d'això, van començar a apuntar-se a nombroses organitzacions tant a Europa com a Àsia abusant de la vulnerabilitat de ProxyLogon. Una de les càrregues útils finals lliurades als sistemes compromesos és Samurai Backdoor.

Per preparar el sistema trencat per a les càrregues útils de l'etapa posterior, els actors de l'amenaça primer despleguen una amenaça dropper. És responsable d'instal·lar els altres components amenaçadors i de crear diverses claus de registre capaços de forçar el procés legítim 'svchost.exe' a carregar el programari maliciós Samurai. L'amenaça és una porta posterior modular que està equipada amb diverses tècniques antianàlisi. Els investigadors de l'infosec assenyalen que Samurai s'ha ofuscat amb un algorisme específic, a diverses de les seves funcions s'assignen noms aleatoris i inclou múltiples bucles i casos de canvi que provoquen salts entre instruccions.

Els diferents mòduls de l'amenaça estan dissenyats per gestionar tasques específiques, en funció de les ordres rebudes. Fins ara, els mòduls danyats identificats són capaços d'executar ordres arbitràries mitjançant cmd, manipular el sistema de fitxers i carregar fitxers seleccionats dels sistemes violats. Samurai també pot establir una connexió amb una adreça IP remota i un port TCP. Si es rep l'ordre corresponent, el programari maliciós també pot reenviar una càrrega útil rebuda mitjançant una sol·licitud HTTP a l'adreça IP remota o obtenir-ne una des d'allà.