Samurajų užpakalinės durys

„Samurai Backdoor“ grėsmė yra grėsmingo anksčiau nežinomos APT (Advanced Persistent Threat) grupės arsenalo dalis. Kibernetiniai nusikaltėliai savo veiklą pradėjo gana greitai – pirmieji jų veiklos požymiai buvo aptikti 2020 m. gruodį. Daugiau informacijos apie grupuotę, jos taikinius ir kenkėjiškų programų įrankius atskleidė mokslininkų ataskaita. Kibernetinio saugumo tyrinėtojai teigia, kad jie seka šią kibernetinę nusikaltėlių organizaciją kaip ToddyCat APT.

Iš pradžių „ToddyCat APT“ buvo orientuota į tam tikrų „Exchange“ serverių, esančių Taivane ir Vietname, sugadinimą. Tačiau netrukus po to, piktnaudžiaudami „ProxyLogon“ pažeidžiamumu, jie pradėjo taikytis į daugybę organizacijų Europoje ir Azijoje. Vienas iš galutinio etapo naudingųjų krovinių, pristatomų į pažeistas sistemas, yra „Samurai Backdoor“.

Siekdami paruošti pažeistą sistemą vėlesnio etapo naudingosioms apkrovoms, grėsmės veikėjai pirmiausia diegia nuleidžiamąją grėsmę. Ji yra atsakinga už kitų grėsmingų komponentų įdiegimą ir kelių registro raktų, galinčių priversti teisėtą „svchost.exe“ procesą įkelti Samurai kenkėjišką programą, sukūrimą. Grėsmė yra modulinės užpakalinės durys, kuriose yra keletas antianalizės metodų. Infosec tyrėjai pažymi, kad Samurajus supainiojo konkrečią algoritmą, kelioms jo funkcijoms priskirti atsitiktiniai pavadinimai, be to, jame yra kelios kilpos ir perjungimo atvejai, dėl kurių kyla šuolis tarp instrukcijų.

Skirtingi grėsmės moduliai yra skirti atlikti konkrečias užduotis, atsižvelgiant į gautas komandas. Iki šiol nustatyti sugadinti moduliai gali vykdyti savavališkas komandas per cmd, manipuliuoti failų sistema ir įkelti pasirinktus failus iš pažeistų sistemų. Samurajus taip pat gali užmegzti ryšį su nuotoliniu IP adresu ir TCP prievadu. Jei gaunama atitinkama komanda, kenkėjiška programa taip pat gali persiųsti HTTP užklausa gautą naudingą krovinį į nuotolinį IP adresą arba gauti iš ten.