Threat Database Backdoors Samurai tagauks

Samurai tagauks

Samurai tagaukse oht on osa seni tundmatu APT (Advanced Persistent Threat) rühmituse ähvardavast arsenalist. Küberkurjategijad alustasid oma tegevust suhteliselt kiiresti, esimesed märgid nende tegevusest avastati 2020. aasta detsembris. Rühmituse, selle sihtmärkide ja pahavaratööriistade kohta selgus täpsemalt teadlaste raport. Küberjulgeoleku uurijad väidavad, et nad jälgivad seda küberkurjategijate organisatsiooni nime all ToddyCat APT.

Algselt keskendus ToddyCat APT valitud Exchange'i serverite ohustamisele, mis asuvad Taiwanis ja Vietnamis. Kuid varsti pärast seda hakkasid nad ProxyLogoni haavatavust kuritarvitades sihikule võtma paljusid organisatsioone nii Euroopas kui Aasias. Üks ohustatud süsteemidesse tarnitud lõppfaasi kasulikest koormustest on Samurai tagauks.

Rikkutud süsteemi ettevalmistamiseks hilisemate kasulike koormuste jaoks võtavad ohus osalejad esmalt kasutusele tilgutiohu. See vastutab teiste ähvardavate komponentide installimise ja mitme registrivõtme loomise eest, mis suudavad sundida seaduslikku svchost.exe protsessi Samurai pahavara laadima. Oht on modulaarne tagauks, mis on varustatud mitme analüüsivastase tehnikaga. Infoseci uurijad märgivad, et Samurai on seganud konkreetse algoritmiga, mitmetele selle funktsioonidele on määratud juhuslikud nimed ning see sisaldab mitut silmust ja lülitusjuhtumeid, mis põhjustavad hüppeid juhiste vahel.

Ohu erinevad moodulid on loodud konkreetsete ülesannete täitmiseks, sõltuvalt vastuvõetud käskudest. Siiani on tuvastatud rikutud moodulid võimelised täitma suvalisi käske cmd kaudu, manipuleerima failisüsteemiga ja laadima üles valitud faile rikutud süsteemidest. Samurai saab luua ühenduse ka kaug-IP-aadressi ja TCP-pordiga. Kui vastav käsk laekub, saab pahavara ka HTTP päringu kaudu saadud kasuliku koormuse kaug-IP-aadressile edasi saata või sealt alla laadida.

Trendikas

Enim vaadatud

Laadimine...