Samurai Backdoor
सामुराई ब्याकडोर खतरा पहिलेको अज्ञात एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहको खतरनाक शस्त्रागारको हिस्सा हो। साइबर अपराधीहरूले डिसेम्बर 2020 मा तिनीहरूको सञ्चालनको पहिलो संकेत पत्ता लगाउँदा तुलनात्मक रूपमा चाँडै नै आफ्ना गतिविधिहरू सुरु गरे। समूह, यसको लक्ष्यहरू, र मालवेयर उपकरणहरू बारे थप विवरणहरू, अनुसन्धानकर्ताहरूको एक रिपोर्टमा खुलासा गरिएको थियो। साइबरसुरक्षा अनुसन्धानकर्ताहरूले बताउँछन् कि उनीहरूले यस साइबर अपराधी संगठनलाई ToddyCat APT को रूपमा ट्र्याक गरिरहेका छन्।
सुरुमा, ToddyCat APT ताइवान र भियतनाममा अवस्थित चयनित एक्सचेन्ज सर्भरहरू सम्झौता गर्नमा केन्द्रित थियो। यद्यपि, त्यसको लगत्तै, तिनीहरूले ProxyLogon जोखिमको दुरुपयोग गरेर युरोप र एशिया दुवैमा धेरै संस्थाहरूलाई लक्षित गर्न थाले। सम्झौता गरिएका प्रणालीहरूमा डेलिभर गरिएको अन्तिम चरणको पेलोडहरू मध्ये एक सामुराई ब्याकडोर हो।
पछिल्लो चरणको पेलोडहरूको लागि उल्लङ्घन गरिएको प्रणाली तयार गर्न, धम्की अभिनेताहरूले पहिले ड्रपर धम्की प्रयोग गर्छन्। यो अन्य धम्की दिने कम्पोनेन्टहरू स्थापना गर्न र Samurai मालवेयर लोड गर्न वैध 'svchost.exe' प्रक्रियालाई जबरजस्ती गर्न सक्षम धेरै रजिस्ट्री कुञ्जीहरू सिर्जना गर्न जिम्मेवार छ। खतरा एक मोड्युलर ब्याकडोर हो जुन धेरै विरोधी-विश्लेषण प्रविधिहरूसँग सुसज्जित छ। इन्फोसेक अनुसन्धानकर्ताहरूले नोट गर्छन् कि समुराईले एक विशिष्ट एल्गोरिथ्मसँग अस्पष्ट गरेको छ, यसका धेरै प्रकार्यहरूलाई अनियमित नामहरू तोकिएको छ, र यसले धेरै लूपहरू र स्विच केसहरू समावेश गर्दछ जसले निर्देशनहरू बीच जम्प गर्दछ।
प्राप्त आदेशहरूमा निर्भर गर्दै, खतराका विभिन्न मोड्युलहरू विशेष कार्यहरू ह्यान्डल गर्न डिजाइन गरिएका छन्। अहिलेसम्म, पहिचान गरिएका भ्रष्ट मोड्युलहरू cmd मार्फत मनमानी आदेशहरू कार्यान्वयन गर्न, फाइल प्रणालीलाई हेरफेर गर्न, र उल्लंघन गरिएका प्रणालीहरूबाट चयन गरिएका फाइलहरू अपलोड गर्न सक्षम छन्। सामुराईले टाढाको IP ठेगाना र TCP पोर्टमा जडान स्थापना गर्न सक्छ। यदि सम्बन्धित आदेश प्राप्त भयो भने, मालवेयरले रिमोट आईपी ठेगानामा HTTP अनुरोध मार्फत प्राप्त पेलोडलाई फर्वार्ड गर्न सक्छ, वा त्यहाँबाट एउटा ल्याउन सक्छ।
