Samurai Backdoor

איום הדלת האחורית של סמוראי הוא חלק מהארסנל המאיים של קבוצת APT (Advanced Persistent Threat) שלא הייתה ידועה בעבר. פושעי הסייבר החלו את פעילותם בקרוב יחסית, כאשר סימנים ראשונים לפעילותם זוהו בדצמבר 2020. פרטים נוספים על הקבוצה, יעדיה וכלי תוכנה זדוניות, נחשפו בדו"ח של חוקרים. חוקרי אבטחת הסייבר מצהירים שהם עוקבים אחר ארגון פושעי הסייבר הזה בתור ToddyCat APT.

בתחילה, ה-ToddyCat APT התמקד בפגיעה בשרתי Exchange נבחרים הממוקמים בטייוואן ובווייטנאם. עם זאת, זמן קצר לאחר מכן, הם החלו לכוון לארגונים רבים באירופה ובאסיה על ידי שימוש לרעה בפגיעות ProxyLogon. אחד מהמטענים הסופיים המסופקים למערכות שנפגעו הוא ה-Samurai Backdoor.

כדי להכין את המערכת שנפרצה למטענים בשלב מאוחר יותר, גורמי האיום פורסים תחילה איום מטפטף. היא אחראית להתקנת הרכיבים המאיימים האחרים וליצירת מספר מפתחות רישום המסוגלים לאלץ את התהליך הלגיטימי 'svchost.exe' לטעון את התוכנה הזדונית של סמוראי. האיום הוא דלת אחורית מודולרית המצוידת במספר טכניקות אנטי-אנליזה. חוקרי ה-infosec מציינים ש-Samurai ערפל עם אלגוריתם מסוים, לכמה מהפונקציות שלו מוקצים שמות אקראיים, והוא כולל מספר לולאות ומקרי מתג שגורמים לקפיצות בין הוראות.

המודולים השונים של האיום נועדו לטפל במשימות ספציפיות, בהתאם לפקודות שהתקבלו. עד כה, המודולים הפגומים שזוהו מסוגלים לבצע פקודות שרירותיות באמצעות cmd, לתפעל את מערכת הקבצים ולהעלות קבצים נבחרים ממערכות שנפרצו. סמוראי גם יכול ליצור חיבור לכתובת IP מרוחקת וליציאת TCP. אם הפקודה המתאימה מתקבלת, התוכנה הזדונית יכולה גם להעביר מטען שהתקבל באמצעות בקשת HTTP לכתובת ה-IP המרוחקת, או להביא אחת משם.