Samurai Backdoor

Hrozba Samurai Backdoor je súčasťou hrozivého arzenálu doteraz neznámej skupiny APT (Advanced Persistent Threat). Kyberzločinci začali svoju činnosť relatívne skoro, pričom prvé známky ich operácií boli odhalené v decembri 2020. Viac podrobností o skupine, jej cieľoch a malvérových nástrojoch odhalila správa výskumníkov. Výskumníci v oblasti kybernetickej bezpečnosti uvádzajú, že sledujú túto kyberzločineckú organizáciu ako ToddyCat APT.

Spočiatku bol ToddyCat APT zameraný na kompromitovanie vybraných serverov Exchange umiestnených na Taiwane a vo Vietname. Krátko na to sa však začali zameriavať na mnohé organizácie v Európe aj Ázii zneužívaním zraniteľnosti ProxyLogon. Jedným z konečných nákladov dodaných do napadnutých systémov je samurajské zadné vrátka.

Aby sa narušený systém pripravil na užitočné zaťaženie v neskoršej fáze, aktéri hrozby najprv nasadia hrozbu dropper. Je zodpovedný za inštaláciu ďalších ohrozujúcich komponentov a vytvorenie niekoľkých kľúčov databázy Registry, ktoré dokážu prinútiť legitímny proces „svchost.exe“ načítať samurajský malvér. Hrozbou sú modulárne zadné vrátka, ktoré sú vybavené niekoľkými antianalytickými technikami. Výskumníci z Infosec poznamenávajú, že Samurai zahmlieval špecifickým algoritmom, niekoľkým jeho funkciám sú priradené náhodné mená a zahŕňa viacero slučiek a prípadov prepínania, ktoré spôsobujú skoky medzi pokynmi.

Rôzne moduly hrozby sú navrhnuté tak, aby zvládli špecifické úlohy v závislosti od prijatých príkazov. Doteraz identifikované poškodené moduly sú schopné vykonávať ľubovoľné príkazy cez cmd, manipulovať so súborovým systémom a nahrávať vybrané súbory z narušených systémov. Samuraj môže tiež nadviazať spojenie so vzdialenou IP adresou a TCP portom. Ak je prijatý príslušný príkaz, malvér môže tiež preposlať užitočné zaťaženie prijaté prostredníctvom požiadavky HTTP na vzdialenú IP adresu alebo ju odtiaľ stiahnuť.