Samurai-takaovi

Samurai Backdoor -uhka on osa aiemmin tuntemattoman APT (Advanced Persistent Threat) -ryhmän uhkaavaa arsenaalia. Kyberrikolliset aloittivat toimintansa suhteellisen pian, kun ensimmäiset merkit niiden toiminnasta havaittiin joulukuussa 2020. Ryhmästä, sen kohteista ja haittaohjelmatyökaluista kerrottiin tarkemmin tutkijoiden raportissa. Kyberturvallisuustutkijat ilmoittavat, että he seuraavat tätä kyberrikollisjärjestöä nimellä ToddyCat APT.

Aluksi ToddyCat APT keskittyi vaarantamaan valittuja Exchange-palvelimia Taiwanissa ja Vietnamissa. Pian sen jälkeen he kuitenkin aloittivat kohdistamisen lukuisiin organisaatioihin sekä Euroopassa että Aasiassa käyttämällä väärin ProxyLogon-haavoittuvuutta. Yksi vaarantuneisiin järjestelmiin toimitetuista loppuvaiheen hyötykuormista on Samurai Backdoor.

Valmistellakseen rikotun järjestelmän myöhemmän vaiheen hyötykuormia varten uhkatoimijat ottavat ensin käyttöön dropper-uhan. Se on vastuussa muiden uhkaavien komponenttien asentamisesta ja useiden rekisteriavainten luomisesta, jotka voivat pakottaa laillisen "svchost.exe"-prosessin lataamaan Samurai-haittaohjelman. Uhka on modulaarinen takaovi, joka on varustettu useilla anti-analyysitekniikoilla. Infosec-tutkijat huomauttavat, että Samurai on hämärtänyt tietyllä algoritmilla, useille sen toiminnoille on annettu satunnaiset nimet ja se sisältää useita silmukoita ja kytkintapauksia, jotka aiheuttavat hyppyjä käskyjen välillä.

Uhan eri moduulit on suunniteltu käsittelemään tiettyjä tehtäviä vastaanotettujen komentojen mukaan. Toistaiseksi tunnistetut vioittuneet moduulit pystyvät suorittamaan mielivaltaisia komentoja cmd:n kautta, manipuloimaan tiedostojärjestelmää ja lataamaan valittuja tiedostoja rikotuista järjestelmistä. Samurai voi myös muodostaa yhteyden IP-etäosoitteeseen ja TCP-porttiin. Jos vastaava komento vastaanotetaan, haittaohjelma voi myös välittää HTTP-pyynnön kautta vastaanotetun hyötykuorman etä-IP-osoitteeseen tai hakea sellaisen sieltä.