Samurai Backdoor
Amenințarea Samurai Backdoor face parte din arsenalul amenințător al unui grup APT (Advanced Persistent Threat) necunoscut anterior. Infractorii cibernetici și-au început activitățile relativ curând, primele semne ale operațiunilor lor fiind detectate în decembrie 2020. Mai multe detalii despre grup, țintele sale și instrumentele malware, au fost dezvăluite într-un raport al cercetătorilor. Cercetătorii în securitate cibernetică declară că urmăresc această organizație criminală cibernetică ca APT ToddyCat.
Inițial, ToddyCat APT s-a concentrat pe compromiterea serverelor Exchange selectate situate în Taiwan și Vietnam. Cu toate acestea, la scurt timp după aceea, au început să vizeze numeroase organizații atât din Europa, cât și din Asia, abuzând de vulnerabilitatea ProxyLogon. Una dintre încărcăturile utile ale etapei finale livrate sistemelor compromise este Samurai Backdoor.
Pentru a pregăti sistemul încălcat pentru încărcăturile utile din etapa ulterioară, actorii amenințărilor implementează mai întâi o amenințare dropper. Este responsabil pentru instalarea celorlalte componente amenințătoare și pentru crearea mai multor chei de registry capabile să forțeze procesul legitim „svchost.exe” să încarce malware-ul Samurai. Amenințarea este o ușă din spate modulară care este echipată cu mai multe tehnici anti-analiza. Cercetătorii infosec notează că Samurai a obscurcat cu un algoritm specific, mai multor funcții li se atribuie nume aleatorii și include mai multe bucle și cazuri de comutare care provoacă salturi între instrucțiuni.
Diferitele module ale amenințării sunt concepute pentru a gestiona sarcini specifice, în funcție de comenzile primite. Până acum, modulele corupte identificate sunt capabile să execute comenzi arbitrare prin cmd, să manipuleze sistemul de fișiere și să încarce fișiere selectate din sistemele încălcate. Samurai poate stabili, de asemenea, o conexiune la o adresă IP de la distanță și un port TCP. Dacă se primește comanda corespunzătoare, malware-ul poate, de asemenea, să redirecționeze o sarcină utilă primită printr-o solicitare HTTP către adresa IP de la distanță sau să preia una de acolo.
