Samurai Backdoor
La minaccia Samurai Backdoor fa parte del minaccioso arsenale di un gruppo APT (Advanced Persistent Threat) precedentemente sconosciuto. I criminali informatici hanno iniziato le loro attività relativamente presto con i primi segnali di rilevamento delle loro operazioni nel dicembre 2020. Maggiori dettagli sul gruppo, i suoi obiettivi e gli strumenti malware sono stati rivelati in un rapporto dei ricercatori. I ricercatori sulla sicurezza informatica affermano che stanno tracciando questa organizzazione criminale informatica come ToddyCat APT.
Inizialmente, l'APT di ToddyCat era incentrato sulla compromissione di server Exchange selezionati situati a Taiwan e in Vietnam. Tuttavia, subito dopo, hanno iniziato a prendere di mira numerose organizzazioni sia in Europa che in Asia abusando della vulnerabilità di ProxyLogon. Uno dei carichi utili finali consegnati ai sistemi compromessi è il Samurai Backdoor.
Per preparare il sistema violato per i payload della fase successiva, gli attori delle minacce implementano prima una minaccia dropper. È responsabile dell'installazione degli altri componenti minacciosi e della creazione di diverse chiavi di registro in grado di forzare il legittimo processo 'svchost.exe' a caricare il malware Samurai. La minaccia è una backdoor modulare dotata di diverse tecniche di anti-analisi. I ricercatori di infosec notano che Samurai ha offuscato con un algoritmo specifico, a molte delle sue funzioni vengono assegnati nomi casuali e include più loop e switch case che causano salti tra le istruzioni.
I diversi moduli della minaccia sono progettati per gestire compiti specifici, a seconda dei comandi ricevuti. Finora, i moduli danneggiati identificati sono in grado di eseguire comandi arbitrari tramite cmd, manipolare il file system e caricare file selezionati da sistemi violati. Samurai può anche stabilire una connessione a un indirizzo IP remoto e a una porta TCP. Se viene ricevuto il comando corrispondente, il malware può anche inoltrare un payload ricevuto tramite una richiesta HTTP all'indirizzo IP remoto o recuperarne uno da lì.
