Threat Database Backdoors Samurai Backdoor

Samurai Backdoor

समुराई पिछले दरवाजे का खतरा पहले से अज्ञात एपीटी (उन्नत स्थायी खतरा) समूह के खतरनाक शस्त्रागार का हिस्सा है। साइबर अपराधियों ने अपेक्षाकृत जल्द ही अपनी गतिविधियां शुरू कर दीं और दिसंबर 2020 में उनके संचालन के पहले संकेतों का पता चला। शोधकर्ताओं की एक रिपोर्ट में समूह, इसके लक्ष्यों और मैलवेयर टूल के बारे में अधिक जानकारी सामने आई। साइबर सुरक्षा शोधकर्ताओं का कहना है कि वे इस साइबर अपराधी संगठन को टोडीकैट एपीटी के रूप में ट्रैक कर रहे हैं।

प्रारंभ में, ToddyCat APT ताइवान और वियतनाम में स्थित चयनित एक्सचेंज सर्वरों से समझौता करने पर केंद्रित था। हालांकि, इसके तुरंत बाद, उन्होंने ProxyLogon भेद्यता का दुरुपयोग करके यूरोप और एशिया दोनों में कई संगठनों को लक्षित करना शुरू कर दिया। समझौता किए गए सिस्टम को दिए गए अंतिम चरण के पेलोड में से एक समुराई बैकडोर है।

बाद के चरण के पेलोड के लिए भंग प्रणाली तैयार करने के लिए, खतरे वाले अभिनेता पहले ड्रॉपर खतरे को तैनात करते हैं। यह अन्य खतरनाक घटकों को स्थापित करने और समुराई मैलवेयर लोड करने के लिए वैध 'svchost.exe' प्रक्रिया को बाध्य करने में सक्षम कई रजिस्ट्री कुंजियाँ बनाने के लिए ज़िम्मेदार है। खतरा एक मॉड्यूलर बैकडोर है जो कई एंटी-विश्लेषण तकनीकों से लैस है। इन्फोसेक शोधकर्ताओं ने नोट किया कि समुराई ने एक विशिष्ट एल्गोरिदम के साथ अस्पष्ट किया है, इसके कई कार्यों को यादृच्छिक नाम दिए गए हैं, और इसमें कई लूप और स्विच केस शामिल हैं जो निर्देशों के बीच कूदते हैं।

प्राप्त आदेशों के आधार पर, खतरे के विभिन्न मॉड्यूल विशिष्ट कार्यों को संभालने के लिए डिज़ाइन किए गए हैं। अब तक, पहचाने गए दूषित मॉड्यूल cmd के माध्यम से मनमाने आदेशों को निष्पादित करने, फ़ाइल सिस्टम में हेरफेर करने और भंग सिस्टम से चयनित फ़ाइलों को अपलोड करने में सक्षम हैं। समुराई एक दूरस्थ आईपी पते और टीसीपी पोर्ट के लिए एक कनेक्शन भी स्थापित कर सकता है। यदि संबंधित आदेश प्राप्त होता है, तो मैलवेयर एक HTTP अनुरोध के माध्यम से प्राप्त पेलोड को दूरस्थ आईपी पते पर अग्रेषित कर सकता है, या वहां से एक प्राप्त कर सकता है।

रुझान

सबसे ज्यादा देखा गया

लोड हो रहा है...