Samurai Backdoor

Samurai Backdoor prijetnja je dio prijetećeg arsenala ranije nepoznate grupe APT (Advanced Persistent Threat). Cyber kriminalci su relativno brzo započeli svoje aktivnosti, a prvi znakovi njihovog djelovanja otkriveni su u prosincu 2020. Više pojedinosti o skupini, njezinim metama i zlonamjernim alatima otkriveno je u izvješću istraživača. Istraživači kibernetičke sigurnosti navode da ovu kibernetičku kriminalnu organizaciju prate kao ToddyCat APT.

U početku je ToddyCat APT bio usmjeren na kompromitiranje odabranih Exchange poslužitelja koji se nalaze u Tajvanu i Vijetnamu. Međutim, ubrzo nakon toga, počeli su ciljati brojne organizacije u Europi i Aziji zlorabeći ranjivost ProxyLogon. Jedan od završnih tereta koji se isporučuje ugroženim sustavima je Samurai Backdoor.

Kako bi pripremili probijeni sustav za kasniju fazu korisnog opterećenja, akteri prijetnje prvo postavljaju prijetnju dropper. Odgovoran je za instaliranje ostalih prijetećih komponenti i stvaranje nekoliko ključeva registra koji mogu prisiliti legitimni proces 'svchost.exe' da učita zlonamjerni softver Samurai. Prijetnja je modularni backdoor koji je opremljen s nekoliko tehnika protiv analize. Istraživači infoseca primjećuju da se Samurai zamagljuje određenim algoritmom, nekoliko njegovih funkcija ima nasumična imena i uključuje višestruke petlje i slučajeve prebacivanja koji uzrokuju skokove između instrukcija.

Različiti moduli prijetnje dizajnirani su za rješavanje specifičnih zadataka, ovisno o primljenim naredbama. Do sada su identificirani oštećeni moduli sposobni izvršavati proizvoljne naredbe putem cmd-a, manipulirati datotečnim sustavom i učitavati odabrane datoteke iz provaljenih sustava. Samurai također može uspostaviti vezu s udaljenom IP adresom i TCP portom. Ako se primi odgovarajuća naredba, zlonamjerni softver također može proslijediti teret primljen putem HTTP zahtjeva na udaljenu IP adresu ili je od tamo dohvatiti.