Threat Database Backdoors Самураи Бацкдоор

Самураи Бацкдоор

Самураи Бацкдоор претња је део претећег арсенала раније непознате групе АПТ (Адванцед Персистент Тхреат). Сајбер криминалци су започели своје активности релативно брзо, а први знаци њиховог деловања су откривени у децембру 2020. Више детаља о групи, њеним метама и алатима за малвер откривено је у извештају истраживача. Истраживачи сајбер безбедности наводе да ову сајбер криминалну организацију прате као ТоддиЦат АПТ.

У почетку, ТоддиЦат АПТ је био фокусиран на компромитовање одабраних Екцханге сервера који се налазе на Тајвану и Вијетнаму. Међутим, убрзо након тога, почели су да циљају бројне организације у Европи и Азији злоупотребљавајући рањивост ПрокиЛогон. Један од завршних терета који се испоручује компромитованим системима је Самураи Бацкдоор.

Да би припремили пробијени систем за каснију фазу корисног оптерећења, актери претње прво постављају претњу дроппер. Он је одговоран за инсталирање других претећих компоненти и креирање неколико кључева регистратора који могу да приморају легитимни процес 'свцхост.еке' да учита Самураи малвер. Претња је модуларни бацкдоор који је опремљен са неколико техника против анализе. Истраживачи инфосец-а примећују да је Самураи замаглио специфичним алгоритмом, неколико његових функција има насумична имена и укључује вишеструке петље и случајеве пребацивања који изазивају скокове између инструкција.

Различити модули претње су дизајнирани за руковање специфичним задацима, у зависности од примљених команди. До сада, идентификовани оштећени модули су у стању да извршавају произвољне команде преко цмд-а, манипулишу датотечним системом и отпремају изабране датотеке са проваљених система. Самураи такође може успоставити везу са удаљеном ИП адресом и ТЦП портом. Ако се прими одговарајућа команда, злонамерни софтвер такође може да проследи корисни терет примљен путем ХТТП захтева на удаљену ИП адресу или да је преузме одатле.

У тренду

Најгледанији

Учитавање...