Samurai bakdør

Samurai Backdoor-trusselen er en del av det truende arsenalet til en tidligere ukjent APT-gruppe (Advanced Persistent Threat). De nettkriminelle startet sine aktiviteter relativt snart, og de første tegnene på deres operasjoner ble oppdaget i desember 2020. Flere detaljer om gruppen, dens mål og skadevareverktøy ble avslørt i en rapport fra forskere. Nettsikkerhetsforskerne oppgir at de sporer denne nettkriminelle organisasjonen som ToddyCat APT.

Opprinnelig var ToddyCat APT fokusert på å kompromittere utvalgte Exchange-servere i Taiwan og Vietnam. Like etter begynte de imidlertid å målrette mot en rekke organisasjoner i både Europa og Asia ved å misbruke ProxyLogon-sårbarheten. En av nyttelastene i sluttfasen som leveres til de kompromitterte systemene er Samurai Backdoor.

For å forberede det brutte systemet for nyttelastene i senere stadier, distribuerer trusselaktørene først en dropper-trussel. Det er ansvarlig for å installere de andre truende komponentene og lage flere registernøkler som er i stand til å tvinge den legitime 'svchost.exe'-prosessen til å laste inn Samurai-malware. Trusselen er en modulær bakdør som er utstyrt med flere antianalyseteknikker. Infosec-forskerne bemerker at Samurai har tilslørt en spesifikk algoritme, flere av funksjonene er tildelt tilfeldige navn, og den inkluderer flere løkker og svitsjtilfeller som forårsaker hopp mellom instruksjoner.

De forskjellige modulene til trusselen er designet for å håndtere spesifikke oppgaver, avhengig av de mottatte kommandoene. Så langt er de identifiserte korrupte modulene i stand til å utføre vilkårlige kommandoer via cmd, manipulere filsystemet og laste opp utvalgte filer fra systemer som brytes. Samurai kan også opprette en tilkobling til en ekstern IP-adresse og TCP-port. Hvis den tilsvarende kommandoen mottas, kan skadelig programvare også videresende en nyttelast mottatt via en HTTP-forespørsel til den eksterne IP-adressen, eller hente en derfra.