Samuraju aizmugures durvis

Samurai Backdoor draudi ir daļa no iepriekš nezināmas APT (Advanced Persistent Threat) grupas draudīgā arsenāla. Kibernoziedznieki savu darbību sāka salīdzinoši drīz, 2020. gada decembrī tika atklātas pirmās viņu darbības pazīmes. Sīkāka informācija par grupu, tās mērķiem un ļaunprātīgas programmatūras rīkiem tika atklāta pētnieku ziņojumā. Kiberdrošības pētnieki norāda, ka viņi izseko šo kibernoziedznieku organizāciju kā ToddyCat APT.

Sākotnēji ToddyCat APT bija vērsta uz noteiktu Exchange serveru, kas atrodas Taivānā un Vjetnamā, kompromitēšanu. Tomēr drīz pēc tam viņi sāka vērsties pret daudzām organizācijām gan Eiropā, gan Āzijā, ļaunprātīgi izmantojot ProxyLogon ievainojamību. Viena no beigu stadijas kravām, kas tiek piegādāta apdraudētajām sistēmām, ir Samurai Backdoor.

Lai sagatavotu bojāto sistēmu vēlākā posma lietderīgajām slodzēm, apdraudējuma dalībnieki vispirms izvieto nolaižamo draudu. Tas ir atbildīgs par citu apdraudošo komponentu instalēšanu un vairāku reģistra atslēgu izveidi, kas spēj piespiest likumīgo “svchost.exe” procesu ielādēt Samurai ļaunprogrammatūru. Draudi ir moduļu aizmugures durvis, kas ir aprīkotas ar vairākām pretanalīzes metodēm. Infosec pētnieki atzīmē, ka Samurai ir apmulsuši ar noteiktu algoritmu, vairākām tā funkcijām ir piešķirti nejauši nosaukumi, un tajā ir iekļautas vairākas cilpas un slēdžu gadījumi, kas izraisa lēcienus starp instrukcijām.

Dažādie draudu moduļi ir paredzēti konkrētu uzdevumu veikšanai atkarībā no saņemtajām komandām. Līdz šim identificētie bojātie moduļi spēj izpildīt patvaļīgas komandas, izmantojot cmd, manipulēt ar failu sistēmu un augšupielādēt atlasītos failus no bojātām sistēmām. Samurai var arī izveidot savienojumu ar attālo IP adresi un TCP portu. Ja tiek saņemta atbilstošā komanda, ļaunprogrammatūra var arī pārsūtīt ar HTTP pieprasījumu saņemto lietderīgo slodzi uz attālo IP adresi vai ienest to no turienes.