Άδειες χρήσης πολλών συσκευών (εκπτώσεις όγκου)
Threat Database Backdoors Samurai Backdoor

Samurai Backdoor

Μέχρι το Mezo το Backdoors, Advanced Persistent Threat (APT)
Μετάφραση σε:
Ελληνικά

Η απειλή Samurai Backdoor είναι μέρος του απειλητικού οπλοστασίου μιας προηγουμένως άγνωστης ομάδας APT (Advanced Persistent Threat). Οι κυβερνοεγκληματίες ξεκίνησαν τις δραστηριότητές τους σχετικά σύντομα με τα πρώτα σημάδια των επιχειρήσεών τους να εντοπίζονται τον Δεκέμβριο του 2020. Περισσότερες λεπτομέρειες για την ομάδα, τους στόχους της και τα εργαλεία κακόβουλου λογισμικού, αποκαλύφθηκαν σε έκθεση ερευνητών. Οι ερευνητές κυβερνοασφάλειας δηλώνουν ότι παρακολουθούν αυτήν την κυβερνοεγκληματική οργάνωση ως ToddyCat APT.

Αρχικά, το ToddyCat APT επικεντρώθηκε στην παραβίαση επιλεγμένων διακομιστών Exchange που βρίσκονται στην Ταϊβάν και το Βιετνάμ. Ωστόσο, σύντομα μετά από αυτό, άρχισαν να στοχεύουν πολυάριθμους οργανισμούς τόσο στην Ευρώπη όσο και στην Ασία κάνοντας κατάχρηση της ευπάθειας ProxyLogon. Ένα από τα ωφέλιμα φορτία τελικού σταδίου που παραδίδονται στα παραβιασμένα συστήματα είναι το Samurai Backdoor.

Για να προετοιμάσουν το σύστημα που έχει παραβιαστεί για τα ωφέλιμα φορτία μεταγενέστερων σταδίων, οι φορείς απειλών αναπτύσσουν πρώτα μια απειλή με σταγονόμετρο. Είναι υπεύθυνο για την εγκατάσταση των άλλων απειλητικών στοιχείων και τη δημιουργία πολλών κλειδιών μητρώου ικανά να αναγκάσουν τη νόμιμη διαδικασία 'svchost.exe' να φορτώσει το κακόβουλο λογισμικό Samurai. Η απειλή είναι μια αρθρωτή κερκόπορτα που είναι εξοπλισμένη με πολλές τεχνικές αντι-ανάλυσης. Οι ερευνητές του infosec σημειώνουν ότι ο Σαμουράι έχει μπερδέψει με έναν συγκεκριμένο αλγόριθμο, σε πολλές από τις λειτουργίες του έχουν εκχωρηθεί τυχαία ονόματα και περιλαμβάνει πολλαπλούς βρόχους και περιπτώσεις διακοπτών που προκαλούν πηδήματα μεταξύ των εντολών.

Οι διάφορες μονάδες της απειλής έχουν σχεδιαστεί για να χειρίζονται συγκεκριμένες εργασίες, ανάλογα με τις εντολές που λαμβάνονται. Μέχρι στιγμής, οι εντοπισμένες κατεστραμμένες μονάδες είναι ικανές να εκτελούν αυθαίρετες εντολές μέσω cmd, να χειρίζονται το σύστημα αρχείων και να ανεβάζουν επιλεγμένα αρχεία από συστήματα που έχουν παραβιαστεί. Ο Samurai μπορεί επίσης να δημιουργήσει μια σύνδεση με μια απομακρυσμένη διεύθυνση IP και μια θύρα TCP. Εάν ληφθεί η αντίστοιχη εντολή, το κακόβουλο λογισμικό μπορεί επίσης να προωθήσει ένα ωφέλιμο φορτίο που ελήφθη μέσω αιτήματος HTTP στην απομακρυσμένη διεύθυνση IP ή να φέρει ένα από εκεί.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,356
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...