Lesen Berbilang Peranti (Volume Diskaun)
Threat Database Backdoors Pintu Belakang Samurai

Pintu Belakang Samurai

Menjelang Mezo pada Backdoors, Advanced Persistent Threat (APT)
Terjemahkan ke
بهاس ملايو

Ancaman Samurai Backdoor adalah sebahagian daripada senjata mengancam kumpulan APT (Advanced Persistent Threat) yang sebelum ini tidak diketahui. Penjenayah siber memulakan aktiviti mereka tidak lama lagi dengan tanda pertama operasi mereka dikesan pada Disember 2020. Butiran lanjut tentang kumpulan itu, sasarannya dan alat perisian hasad, telah didedahkan dalam laporan oleh penyelidik. Penyelidik keselamatan siber menyatakan bahawa mereka menjejaki organisasi penjenayah siber ini sebagai APT ToddyCat.

Pada mulanya, APT ToddyCat tertumpu pada menjejaskan pelayan Exchange terpilih yang terletak di Taiwan dan Vietnam. Walau bagaimanapun, tidak lama selepas itu, mereka mula menyasarkan banyak organisasi di Eropah dan Asia dengan menyalahgunakan kelemahan ProxyLogon. Salah satu muatan peringkat akhir yang dihantar ke sistem yang terjejas ialah Pintu Belakang Samurai.

Untuk menyediakan sistem yang dilanggar untuk muatan peringkat kemudian, pelaku ancaman mula-mula menggunakan ancaman penitis. Ia bertanggungjawab untuk memasang komponen mengancam lain dan mencipta beberapa kunci Pendaftaran yang mampu memaksa proses 'svchost.exe' yang sah untuk memuatkan perisian hasad Samurai. Ancaman adalah pintu belakang modular yang dilengkapi dengan beberapa teknik anti-analisis. Penyelidik infosec menyatakan bahawa Samurai telah mengelirukan dengan algoritma tertentu, beberapa fungsinya diberikan nama rawak, dan ia termasuk berbilang gelung dan kes suis yang menyebabkan lompatan antara arahan.

Modul ancaman yang berbeza direka untuk mengendalikan tugas tertentu, bergantung pada arahan yang diterima. Setakat ini, modul rosak yang dikenal pasti mampu melaksanakan arahan sewenang-wenangnya melalui cmd, memanipulasi sistem fail dan memuat naik fail terpilih daripada sistem yang dilanggar. Samurai juga boleh mewujudkan sambungan ke alamat IP jauh dan port TCP. Jika arahan yang sepadan diterima, perisian hasad juga boleh memajukan muatan yang diterima melalui permintaan HTTP ke alamat IP jauh atau mengambilnya dari sana.

Trending

Paling banyak dilihat

Memuatkan...