Samurai achterdeur

De Samurai Backdoor-dreiging maakt deel uit van het dreigende arsenaal van een voorheen onbekende APT-groep (Advanced Persistent Threat). De cybercriminelen begonnen relatief snel met hun activiteiten toen de eerste tekenen van hun activiteiten werden gedetecteerd in december 2020. Meer details over de groep, haar doelen en malwaretools werden onthuld in een rapport van onderzoekers. De cybersecurity-onderzoekers stellen dat ze deze cybercriminele organisatie volgen als de ToddyCat APT.

Aanvankelijk was de ToddyCat APT gericht op het compromitteren van geselecteerde Exchange-servers in Taiwan en Vietnam. Kort daarna begonnen ze zich echter te richten op tal van organisaties in zowel Europa als Azië door misbruik te maken van de ProxyLogon-kwetsbaarheid. Een van de eindtrapladingen die aan de gecompromitteerde systemen worden geleverd, is de Samurai Backdoor.

Om het geschonden systeem voor te bereiden op de payloads in een later stadium, zetten de dreigingsactoren eerst een dropper-dreiging in. Het is verantwoordelijk voor het installeren van de andere bedreigende componenten en het maken van verschillende registersleutels die het legitieme 'svchost.exe'-proces kunnen dwingen de Samurai-malware te laden. De dreiging is een modulaire achterdeur die is uitgerust met verschillende anti-analysetechnieken. De infosec-onderzoekers merken op dat Samurai een specifiek algoritme heeft versluierd, verschillende van zijn functies willekeurige namen hebben gekregen, en het bevat meerdere lussen en schakelgevallen die sprongen tussen instructies veroorzaken.

De verschillende modules van de dreiging zijn ontworpen om specifieke taken uit te voeren, afhankelijk van de ontvangen opdrachten. Tot nu toe zijn de geïdentificeerde beschadigde modules in staat om willekeurige commando's uit te voeren via cmd, het bestandssysteem te manipuleren en geselecteerde bestanden van gehackte systemen te uploaden. Samurai kan ook een verbinding tot stand brengen met een extern IP-adres en een TCP-poort. Als de bijbehorende opdracht wordt ontvangen, kan de malware ook een via een HTTP-verzoek ontvangen payload doorsturen naar het externe IP-adres, of er een ophalen.