Samurai Backdoor
ਸਮੁਰਾਈ ਬੈਕਡੋਰ ਧਮਕੀ ਪਹਿਲਾਂ ਤੋਂ ਅਣਜਾਣ ਏਪੀਟੀ (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ) ਸਮੂਹ ਦੇ ਖਤਰਨਾਕ ਹਥਿਆਰਾਂ ਦਾ ਹਿੱਸਾ ਹੈ। ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਦਸੰਬਰ 2020 ਵਿੱਚ ਆਪਣੇ ਆਪਰੇਸ਼ਨਾਂ ਦਾ ਪਤਾ ਲੱਗਣ ਦੇ ਪਹਿਲੇ ਸੰਕੇਤਾਂ ਦੇ ਨਾਲ ਮੁਕਾਬਲਤਨ ਜਲਦੀ ਹੀ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤੀਆਂ। ਸਮੂਹ, ਇਸਦੇ ਟੀਚਿਆਂ ਅਤੇ ਮਾਲਵੇਅਰ ਟੂਲਸ ਬਾਰੇ ਵਧੇਰੇ ਵੇਰਵੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਇੱਕ ਰਿਪੋਰਟ ਵਿੱਚ ਪ੍ਰਗਟ ਕੀਤੇ ਗਏ ਸਨ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਉਹ ਇਸ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸੰਗਠਨ ਨੂੰ ਟੌਡੀਕੈਟ ਏਪੀਟੀ ਵਜੋਂ ਟਰੈਕ ਕਰ ਰਹੇ ਹਨ।
ਸ਼ੁਰੂ ਵਿੱਚ, ToddyCat APT ਤਾਈਵਾਨ ਅਤੇ ਵੀਅਤਨਾਮ ਵਿੱਚ ਸਥਿਤ ਚੁਣੇ ਹੋਏ ਐਕਸਚੇਂਜ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ 'ਤੇ ਕੇਂਦਰਿਤ ਸੀ। ਹਾਲਾਂਕਿ, ਇਸਦੇ ਤੁਰੰਤ ਬਾਅਦ, ਉਹਨਾਂ ਨੇ ਪ੍ਰੌਕਸੀਲੋਗਨ ਕਮਜ਼ੋਰੀ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਕੇ ਯੂਰਪ ਅਤੇ ਏਸ਼ੀਆ ਦੋਵਾਂ ਵਿੱਚ ਕਈ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ। ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਨੂੰ ਦਿੱਤੇ ਗਏ ਅੰਤਮ-ਪੜਾਅ ਦੇ ਪੇਲੋਡਾਂ ਵਿੱਚੋਂ ਇੱਕ ਸਮੁਰਾਈ ਬੈਕਡੋਰ ਹੈ।
ਬਾਅਦ ਦੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡਸ ਲਈ ਉਲੰਘਣ ਵਾਲੇ ਸਿਸਟਮ ਨੂੰ ਤਿਆਰ ਕਰਨ ਲਈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਪਹਿਲਾਂ ਡਰਾਪਰ ਧਮਕੀ ਨੂੰ ਤਾਇਨਾਤ ਕਰਦੇ ਹਨ। ਇਹ ਸਮੁਰਾਈ ਮਾਲਵੇਅਰ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਜਾਇਜ਼ 'svchost.exe' ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਮਜ਼ਬੂਰ ਕਰਨ ਦੇ ਸਮਰੱਥ ਕਈ ਰਜਿਸਟਰੀ ਕੁੰਜੀਆਂ ਨੂੰ ਹੋਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਭਾਗਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਧਮਕੀ ਇੱਕ ਮਾਡਯੂਲਰ ਬੈਕਡੋਰ ਹੈ ਜੋ ਕਈ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਤਕਨੀਕਾਂ ਨਾਲ ਲੈਸ ਹੈ। infosec ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੋਟ ਕੀਤਾ ਕਿ ਸਮੁਰਾਈ ਨੇ ਇੱਕ ਖਾਸ ਐਲਗੋਰਿਦਮ ਨਾਲ ਗੁੰਝਲਦਾਰ ਕੀਤਾ ਹੈ, ਇਸਦੇ ਕਈ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਬੇਤਰਤੀਬੇ ਨਾਮ ਦਿੱਤੇ ਗਏ ਹਨ, ਅਤੇ ਇਸ ਵਿੱਚ ਕਈ ਲੂਪਸ ਅਤੇ ਸਵਿੱਚ ਕੇਸ ਸ਼ਾਮਲ ਹਨ ਜੋ ਨਿਰਦੇਸ਼ਾਂ ਦੇ ਵਿਚਕਾਰ ਛਾਲ ਦਾ ਕਾਰਨ ਬਣਦੇ ਹਨ।
ਧਮਕੀ ਦੇ ਵੱਖੋ-ਵੱਖਰੇ ਮੋਡੀਊਲ ਖਾਸ ਕਾਰਜਾਂ ਨੂੰ ਸੰਭਾਲਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ, ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਦੇ ਆਧਾਰ 'ਤੇ। ਹੁਣ ਤੱਕ, ਪਛਾਣੇ ਗਏ ਖਰਾਬ ਮੋਡੀਊਲ cmd ਦੁਆਰਾ ਆਰਬਿਟਰੇਰੀ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਅਤੇ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮਾਂ ਤੋਂ ਚੁਣੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹਨ। ਸਮੁਰਾਈ ਇੱਕ ਰਿਮੋਟ IP ਐਡਰੈੱਸ ਅਤੇ TCP ਪੋਰਟ ਨਾਲ ਇੱਕ ਕੁਨੈਕਸ਼ਨ ਵੀ ਸਥਾਪਿਤ ਕਰ ਸਕਦਾ ਹੈ। ਜੇਕਰ ਸੰਬੰਧਿਤ ਕਮਾਂਡ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਇੱਕ HTTP ਬੇਨਤੀ ਰਾਹੀਂ ਪ੍ਰਾਪਤ ਹੋਏ ਇੱਕ ਪੇਲੋਡ ਨੂੰ ਰਿਮੋਟ IP ਪਤੇ 'ਤੇ ਵੀ ਭੇਜ ਸਕਦਾ ਹੈ, ਜਾਂ ਉੱਥੋਂ ਇੱਕ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ।
