Samurai Backdoor

تهدید سامورایی در پشتی بخشی از زرادخانه تهدیدآمیز یک گروه APT (تهدید پایدار پیشرفته) است که قبلاً ناشناخته بود. مجرمان سایبری فعالیت خود را نسبتاً زود آغاز کردند و اولین علائم عملیات آنها در دسامبر 2020 شناسایی شد. جزئیات بیشتر در مورد این گروه، اهداف و ابزارهای بدافزار در گزارشی توسط محققان فاش شد. محققان امنیت سایبری اعلام کردند که این سازمان مجرم سایبری را به عنوان ToddyCat APT ردیابی می کنند.

در ابتدا، ToddyCat APT روی به خطر انداختن سرورهای Exchange منتخب واقع در تایوان و ویتنام متمرکز بود. با این حال، بلافاصله پس از آن، آنها با سوء استفاده از آسیب‌پذیری ProxyLogon، سازمان‌های متعددی در اروپا و آسیا را هدف قرار دادند. یکی از محموله های مرحله پایانی که به سیستم های در معرض خطر تحویل داده می شود، در پشتی سامورایی است.

برای آماده سازی سیستم نقض شده برای بارهای بعدی، عوامل تهدید ابتدا یک تهدید قطره چکان را مستقر می کنند. مسئول نصب سایر مؤلفه‌های تهدیدکننده و ایجاد چندین کلید رجیستری است که می‌توانند فرآیند قانونی 'svchost.exe' را مجبور به بارگیری بدافزار سامورایی کنند. تهدید یک درب پشتی مدولار است که به چندین تکنیک ضد تجزیه و تحلیل مجهز است. محققان infosec خاطرنشان می‌کنند که سامورایی با الگوریتم خاصی مبهم شده است، به چندین مورد از توابع آن نام‌های تصادفی اختصاص داده شده است، و شامل حلقه‌های متعدد و موارد سوئیچ است که باعث پرش بین دستورالعمل‌ها می‌شود.

ماژول های مختلف تهدید بسته به دستورات دریافتی برای انجام وظایف خاص طراحی شده اند. تا کنون، ماژول های خراب شناسایی شده قادر به اجرای دستورات دلخواه از طریق cmd، دستکاری سیستم فایل، و آپلود فایل های انتخابی از سیستم های نقض شده هستند. سامورایی همچنین می تواند به یک آدرس IP راه دور و پورت TCP ارتباط برقرار کند. اگر فرمان مربوطه دریافت شود، بدافزار همچنین می‌تواند یک بار دریافتی از طریق یک درخواست HTTP را به آدرس IP راه دور ارسال کند یا از آنجا یکی را واکشی کند.