Samurai bagdør

Samurai Backdoor-truslen er en del af det truende arsenal af en hidtil ukendt APT-gruppe (Advanced Persistent Threat). De cyberkriminelle startede deres aktiviteter relativt hurtigt, og de første tegn på deres operationer blev opdaget i december 2020. Flere detaljer om gruppen, dens mål og malware-værktøjer blev afsløret i en rapport fra forskere. Cybersikkerhedsforskerne oplyser, at de sporer denne cyberkriminelle organisation som ToddyCat APT.

Oprindeligt var ToddyCat APT fokuseret på at kompromittere udvalgte Exchange-servere placeret i Taiwan og Vietnam. Men kort efter begyndte de at målrette mod adskillige organisationer i både Europa og Asien ved at misbruge ProxyLogon-sårbarheden. En af slutstadiets nyttelaster leveret til de kompromitterede systemer er Samurai Backdoor.

For at forberede det brudte system til de senere trins nyttelast, implementerer trusselsaktørerne først en dropper-trussel. Det er ansvarligt for at installere de andre truende komponenter og skabe flere registreringsnøgler, der er i stand til at tvinge den legitime 'svchost.exe'-proces til at indlæse Samurai-malwaren. Truslen er en modulær bagdør, der er udstyret med adskillige antianalyseteknikker. Infosec-forskerne bemærker, at Samurai har sløret med en specifik algoritme, flere af dens funktioner er tildelt tilfældige navne, og den inkluderer flere loops og switch-cases, der forårsager spring mellem instruktionerne.

De forskellige moduler af truslen er designet til at håndtere specifikke opgaver, afhængigt af de modtagne kommandoer. Indtil videre er de identificerede korrupte moduler i stand til at udføre vilkårlige kommandoer via cmd, manipulere filsystemet og uploade udvalgte filer fra brudte systemer. Samurai kan også oprette forbindelse til en ekstern IP-adresse og TCP-port. Hvis den tilsvarende kommando modtages, kan malwaren også videresende en nyttelast modtaget via en HTTP-anmodning til den eksterne IP-adresse eller hente en derfra.