Самурай Бэкдор

Угроза Samurai Backdoor является частью угрожающего арсенала ранее неизвестной группы APT (Advanced Persistent Threat). Киберпреступники начали свою деятельность относительно быстро: первые признаки их деятельности были обнаружены в декабре 2020 года. Более подробная информация о группе, ее целях и вредоносных инструментах раскрыта в отчете исследователей. Исследователи кибербезопасности заявляют, что отслеживают эту киберпреступную организацию как APT ToddyCat.

Первоначально атака ToddyCat была нацелена на взлом отдельных серверов Exchange, расположенных на Тайване и во Вьетнаме. Однако вскоре после этого они начали атаковать многочисленные организации как в Европе, так и в Азии, используя уязвимость ProxyLogon. Одной из конечных полезных нагрузок, доставленных на скомпрометированные системы, является Samurai Backdoor.

Чтобы подготовить взломанную систему к полезной нагрузке более поздних стадий, злоумышленники сначала развертывают угрозу-дроппер. Он отвечает за установку других угрожающих компонентов и создание нескольких ключей реестра, способных заставить законный процесс svchost.exe загрузить вредоносное ПО Samurai. Угроза представляет собой модульный бэкдор, оснащенный несколькими методами антианализа. Исследователи информационной безопасности отмечают, что Samurai запутался с помощью определенного алгоритма, нескольким его функциям присвоены случайные имена, и он включает в себя несколько циклов и случаев переключения, которые вызывают переходы между инструкциями.

Различные модули угрозы предназначены для решения конкретных задач в зависимости от полученных команд. На данный момент выявленные поврежденные модули способны выполнять произвольные команды через cmd, манипулировать файловой системой и загружать выбранные файлы из взломанных систем. Samurai также может установить соединение с удаленным IP-адресом и TCP-портом. При получении соответствующей команды вредоносное ПО также может пересылать полезную нагрузку, полученную по HTTP-запросу, на удаленный IP-адрес или получать ее оттуда.