Samurajska zadnja vrata

Grožnja Samurai Backdoor je del grozečega arzenala prej neznane skupine APT (Advanced Persistent Threat). Kibernetski kriminalci so svoje dejavnosti začeli razmeroma kmalu, prve znake njihovega delovanja pa so odkrili decembra 2020. Več podrobnosti o skupini, njenih tarčah in orodjih za zlonamerno programsko opremo so razkrili v poročilu raziskovalcev. Raziskovalci kibernetske varnosti navajajo, da sledijo tej kibernetski kriminalni organizaciji kot ToddyCat APT.

Sprva je bil ToddyCat APT osredotočen na ogrožanje izbranih strežnikov Exchange, ki se nahajajo na Tajvanu in v Vietnamu. Vendar so kmalu zatem začeli ciljati na številne organizacije v Evropi in Aziji z zlorabo ranljivosti ProxyLogon. Ena od končnih obremenitev, dostavljenih v ogrožene sisteme, je Samurai Backdoor.

Da bi vdrti sistem pripravili na kasnejše obremenitve, akterji grožnje najprej uporabijo grožnjo dropper. Odgovoren je za namestitev drugih nevarnih komponent in ustvarjanje več registrskih ključev, ki lahko prisilijo zakoniti proces 'svchost.exe', da naloži zlonamerno programsko opremo Samurai. Grožnja je modularna zadnja vrata, ki je opremljena z več tehnikami proti analizi. Raziskovalci infosec ugotavljajo, da se je Samurai zakril s posebnim algoritmom, številnim njegovim funkcijam so dodeljena naključna imena in vključuje več zank in preklopnih primerov, ki povzročajo skoke med navodili.

Različni moduli grožnje so zasnovani za obvladovanje določenih nalog, odvisno od prejetih ukazov. Doslej so ugotovljeni poškodovani moduli lahko izvajali poljubne ukaze prek cmd, manipulirajo z datotečnim sistemom in nalagajo izbrane datoteke iz vlomljenih sistemov. Samurai lahko vzpostavi tudi povezavo z oddaljenim naslovom IP in vrati TCP. Če je prejet ustrezen ukaz, lahko zlonamerna programska oprema tudi posreduje koristno obremenitev, prejeto prek zahteve HTTP, na oddaljeni naslov IP ali ga od tam pridobi.