Licenças para vários dispositivos (descontos por volume)
Threat Database Backdoors Samurai Backdoor

Samurai Backdoor

Por Mezo em Backdoors, Advanced Persistent Threat (APT)
Traduzir Para:
Português

A ameaça Samurai Backdoor faz parte do arsenal ameaçador de um grupo APT (Advanced Persistent Threat) anteriormente desconhecido. Os cibercriminosos iniciaram suas atividades relativamente cedo, com os primeiros sinais de suas operações sendo detectados em dezembro de 2020. Mais detalhes sobre o grupo, seus alvos e ferramentas de malware foram revelados em um relatório de pesquisadores. Os pesquisadores de segurança cibernética afirmam que estão rastreando essa organização cibercriminosa como o ToddyCat APT.

Inicialmente, o ToddyCat APT estava focado em comprometer servidores Exchange selecionados localizados em Taiwan e no Vietnã. No entanto, logo depois disso, eles começaram a atacar várias organizações na Europa e na Ásia, abusando da vulnerabilidade ProxyLogon. Uma das cargas úteis de estágio final entregues aos sistemas comprometidos é o Samurai Backdoor.

Para preparar o sistema violado para as cargas úteis de estágio posterior, os agentes de ameaças primeiro implantam uma ameaça de dropper. Ele é responsável por instalar os outros componentes ameaçadores e criar várias chaves de registro capazes de forçar o processo legítimo 'svchost.exe' a carregar o malware Samurai. A ameaça é um backdoor modular equipado com várias técnicas anti-análise. Os pesquisadores da infosec observam que o Samurai ofuscou com um algoritmo específico, várias de suas funções recebem nomes aleatórios e inclui vários loops e casos de comutação que causam saltos entre as instruções.

Os diferentes módulos da ameaça são projetados para lidar com tarefas específicas, dependendo dos comandos recebidos. Até agora, os módulos corrompidos identificados são capazes de executar comandos arbitrários via cmd, manipular o sistema de arquivos e carregar arquivos selecionados de sistemas violados. O Samurai também pode estabelecer uma conexão com um endereço IP remoto e uma porta TCP. Se o comando correspondente for recebido, o malware também pode encaminhar uma carga recebida por meio de uma solicitação HTTP para o endereço de IP remoto ou buscar uma de lá.

Tendendo

Mais visto

Carregando...