Threat Database Backdoors Samurai Backdoor

Samurai Backdoor

Hrozba Samurai Backdoor je součástí hrozivého arzenálu dosud neznámé skupiny APT (Advanced Persistent Threat). Kyberzločinci zahájili svou činnost relativně brzy, první známky jejich operací byly odhaleny v prosinci 2020. Další podrobnosti o skupině, jejích cílech a malwarových nástrojích odhalila zpráva výzkumníků. Výzkumníci v oblasti kybernetické bezpečnosti uvádějí, že sledují tuto kyberzločineckou organizaci jako ToddyCat APT.

Zpočátku se ToddyCat APT zaměřoval na kompromitování vybraných serverů Exchange umístěných na Tchaj-wanu a ve Vietnamu. Brzy poté se však začali zaměřovat na četné organizace v Evropě i Asii tím, že zneužili zranitelnost ProxyLogon. Jedním z koncových zařízení dodaných do napadených systémů je Samurai Backdoor.

Aby byl narušený systém připraven na pozdější fázi užitečného zatížení, aktéři hrozby nejprve nasadí hrozbu dropper. Je odpovědný za instalaci dalších ohrožujících součástí a vytvoření několika klíčů registru schopných přinutit legitimní proces 'svchost.exe' k načtení samurajského malwaru. Hrozbou jsou modulární zadní vrátka, která jsou vybavena několika antianalytickými technikami. Výzkumníci z infosec poznamenávají, že Samurai zatemnil specifický algoritmus, několika jeho funkcím jsou přiřazena náhodná jména a zahrnuje několik smyček a případů přepínání, které způsobují skoky mezi instrukcemi.

Různé moduly hrozby jsou navrženy tak, aby zvládaly specifické úkoly v závislosti na přijatých příkazech. Dosud identifikované poškozené moduly jsou schopny provádět libovolné příkazy přes cmd, manipulovat se systémem souborů a nahrávat vybrané soubory z narušených systémů. Samuraj také může navázat spojení se vzdálenou IP adresou a TCP portem. Pokud je přijat odpovídající příkaz, malware může také přeposlat datovou část přijatou prostřednictvím požadavku HTTP na vzdálenou IP adresu nebo ji odtud načíst.

Trendy

Nejvíce shlédnuto

Načítání...