Samuraj Backdoor

Zagrożenie Samurai Backdoor jest częścią groźnego arsenału nieznanej wcześniej grupy APT (Advanced Persistent Threat). Cyberprzestępcy rozpoczęli swoją działalność stosunkowo szybko, a pierwsze oznaki ich działań wykryto w grudniu 2020 r. Więcej szczegółów na temat grupy, jej celów i narzędzi szkodliwego oprogramowania ujawniono w raporcie badaczy. Badacze cyberbezpieczeństwa twierdzą, że śledzą tę organizację cyberprzestępczą jako ToddyCat APT.

Początkowo APT ToddyCat koncentrował się na kompromitowaniu wybranych serwerów Exchange zlokalizowanych na Tajwanie i w Wietnamie. Jednak wkrótce potem zaczęli atakować wiele organizacji w Europie i Azji, wykorzystując lukę ProxyLogon. Jednym z końcowych ładunków dostarczanych do skompromitowanych systemów jest Samurai Backdoor.

Aby przygotować naruszony system na późniejsze ładunki, cyberprzestępcy najpierw wdrażają zagrożenie typu dropper. Jest odpowiedzialny za instalowanie innych zagrażających komponentów i tworzenie kilku kluczy rejestru zdolnych wymusić załadowanie złośliwego oprogramowania Samurai przez legalny proces 'svchost.exe'. Zagrożeniem jest modułowy backdoor wyposażony w kilka technik antyanalizy. Badacze infosec zauważają, że Samurai zaciemnił za pomocą określonego algorytmu, kilku jego funkcjom przypisano losowe nazwy i zawiera wiele pętli i przypadków przełączania, które powodują przeskoki między instrukcjami.

Poszczególne moduły zagrożenia są zaprojektowane do obsługi określonych zadań, w zależności od otrzymanych poleceń. Jak dotąd zidentyfikowane uszkodzone moduły są w stanie wykonywać dowolne polecenia za pomocą cmd, manipulować systemem plików i przesyłać wybrane pliki z naruszonych systemów. Samurai może również nawiązać połączenie ze zdalnym adresem IP i portem TCP. Jeśli odpowiednie polecenie zostanie odebrane, złośliwe oprogramowanie może również przekazać ładunek otrzymany za pośrednictwem żądania HTTP na zdalny adres IP lub pobrać go stamtąd.