Samurai Backdoor
Kërcënimi i "Samurai Backdoor" është pjesë e arsenalit kërcënues të një grupi APT (Kërcënimi i Përparuar i Përparuar) i panjohur më parë. Kriminelët kibernetikë filluan aktivitetet e tyre relativisht shpejt me shenjat e para të operacioneve të tyre që u zbuluan në dhjetor 2020. Më shumë detaje rreth grupit, objektivave të tij dhe mjeteve të malware, u zbuluan në një raport nga studiuesit. Studiuesit e sigurisë kibernetike deklarojnë se po ndjekin këtë organizatë kriminale kibernetike si ToddyCat APT.
Fillimisht, ToddyCat APT u fokusua në kompromentimin e serverëve të zgjedhur të Exchange të vendosur në Tajvan dhe Vietnam. Megjithatë, menjëherë pas kësaj, ata filluan të synojnë organizata të shumta si në Evropë ashtu edhe në Azi duke abuzuar me cenueshmërinë ProxyLogon. Një nga ngarkesat e fazës së fundit të dorëzuar në sistemet e komprometuara është Samurai Backdoor.
Për të përgatitur sistemin e prishur për ngarkesat e mëvonshme, aktorët e kërcënimit fillimisht vendosin një kërcënim me pikatore. Ai është përgjegjës për instalimin e komponentëve të tjerë kërcënues dhe krijimin e disa çelësave të Regjistrit të aftë për të detyruar procesin legjitim 'svchost.exe' të ngarkojë malware-in Samurai. Kërcënimi është një derë e pasme modulare që është e pajisur me disa teknika anti-analizë. Studiuesit e infosec vënë në dukje se Samurai është turbulluar me një algoritëm specifik, disa prej funksioneve të tij u caktohen emra të rastësishëm dhe përfshin unaza të shumta dhe raste ndërprerëse që shkaktojnë kërcime midis udhëzimeve.
Modulet e ndryshme të kërcënimit janë krijuar për të trajtuar detyra specifike, në varësi të komandave të marra. Deri më tani, modulet e identifikuara të korruptuara janë në gjendje të ekzekutojnë komanda arbitrare përmes cmd, të manipulojnë sistemin e skedarëve dhe të ngarkojnë skedarë të zgjedhur nga sistemet e shkelura. Samurai gjithashtu mund të krijojë një lidhje me një adresë IP të largët dhe portin TCP. Nëse merret komanda përkatëse, malware gjithashtu mund të përcjellë një ngarkesë të marrë nëpërmjet një kërkese HTTP në adresën IP të largët, ose të marrë një prej andej.
