Samurai Backdoor

Samurai 백도어 위협은 이전에 알려지지 않은 APT(Advanced Persistent Threat) 그룹의 위협적인 무기고의 일부입니다. 사이버범죄자들은 2020년 12월에 그들의 활동의 첫 징후가 감지되면서 비교적 빨리 활동을 시작했습니다. 그룹, 표적 및 맬웨어 도구에 대한 자세한 내용은 연구원의 보고서에서 공개되었습니다. 사이버 보안 연구원은 이 사이버 범죄 조직을 ToddyCat APT로 추적하고 있다고 밝혔습니다.

처음에 ToddyCat APT는 대만과 베트남에 있는 일부 Exchange 서버를 손상시키는 데 중점을 두었습니다. 그러나 그 직후, 그들은 ProxyLogon 취약점을 악용하여 유럽과 아시아의 수많은 조직을 표적으로 삼기 시작했습니다. 손상된 시스템에 전달되는 최종 페이로드 중 하나는 Samurai Backdoor입니다.

후기 페이로드에 대해 침해된 시스템을 준비하기 위해 위협 행위자는 먼저 드로퍼 위협을 배포합니다. 다른 위협 요소를 설치하고 합법적인 'vchost.exe' 프로세스가 Samurai 맬웨어를 로드하도록 할 수 있는 여러 레지스트리 키를 만드는 역할을 합니다. 위협은 여러 안티 분석 기술이 장착된 모듈식 백도어입니다. infosec 연구원들은 Samurai가 특정 알고리즘으로 난독화되어 있고, 그 기능 중 일부에 임의의 이름이 할당되어 있으며, 명령 간에 점프를 유발하는 여러 루프와 스위치 케이스가 포함되어 있다고 말합니다.

위협의 다른 모듈은 수신된 명령에 따라 특정 작업을 처리하도록 설계되었습니다. 지금까지 식별된 손상된 모듈은 cmd를 통해 임의의 명령을 실행하고, 파일 시스템을 조작하고, 침해된 시스템에서 선택한 파일을 업로드할 수 있습니다. Samurai는 또한 원격 IP 주소 및 TCP 포트에 대한 연결을 설정할 수 있습니다. 해당 명령이 수신되면 악성코드는 HTTP 요청을 통해 수신한 페이로드를 원격 IP 주소로 전달하거나 거기에서 가져올 수도 있습니다.