Threat Database Backdoors Szamuráj hátsó ajtó

Szamuráj hátsó ajtó

A Samurai Backdoor fenyegetés egy korábban ismeretlen APT (Advanced Persistent Threat) csoport fenyegető fegyvertárának része. A kiberbűnözők viszonylag hamar megkezdték tevékenységüket, működésük első jeleit 2020 decemberében észlelték. A csoportról, célpontjairól és a rosszindulatú szoftverekről további részletek derültek ki a kutatók jelentéséből. A kiberbiztonsági kutatók azt állítják, hogy ezt a kiberbûnözõ szervezetet ToddyCat APT néven követik nyomon.

Kezdetben a ToddyCat APT arra összpontosított, hogy kompromittálja a tajvani és vietnámi Exchange-szervereket. Nem sokkal ezután azonban számos szervezetet kezdtek megcélozni Európában és Ázsiában a ProxyLogon sebezhetőségével visszaélve. A kompromittált rendszerekbe szállított egyik végstádiumú hasznos teher a Samurai Backdoor.

Ahhoz, hogy a feltört rendszert felkészítsék a későbbi terhelésekre, a fenyegetés szereplői először egy dropper fenyegetést telepítenek. Felelős a többi fenyegető komponens telepítéséért és több olyan rendszerleíró kulcs létrehozásáért, amelyek képesek arra, hogy a törvényes „svchost.exe” folyamatot betöltsék a szamuráj malware-t. A fenyegetés egy moduláris hátsó ajtó, amely számos anti-analízis technikával van felszerelve. Az infosec kutatói megjegyzik, hogy a Samurai egy adott algoritmussal ködösített, több funkciójához véletlenszerű nevet rendeltek, és több hurkot és kapcsolóesetet is tartalmaz, amelyek ugrást okoznak az utasítások között.

A fenyegetés különböző moduljait a kapott parancsoktól függően meghatározott feladatok kezelésére tervezték. Eddig az azonosított sérült modulok tetszőleges parancsok végrehajtására képesek a cmd-n keresztül, manipulálják a fájlrendszert, és feltöltenek kiválasztott fájlokat a sérült rendszerekről. A szamurájok távoli IP-címmel és TCP-porttal is kapcsolatot létesíthetnek. Ha megkapja a megfelelő parancsot, a rosszindulatú program egy HTTP-kérésen keresztül kapott hasznos adatot is továbbíthat a távoli IP-címre, vagy lekérhet egyet onnan.

Felkapott

Legnézettebb

Betöltés...