Threat Database Backdoors Samurai bakdörr

Samurai bakdörr

Samurai Backdoor-hotet är en del av den hotfulla arsenalen för en tidigare okänd APT-grupp (Advanced Persistent Threat). De cyberbrottslingar startade sina aktiviteter relativt snart och de första tecknen på deras verksamhet upptäcktes i december 2020. Mer detaljer om gruppen, dess mål och verktyg för skadlig programvara, avslöjades i en rapport från forskare. Cybersäkerhetsforskarna uppger att de spårar denna cyberkriminella organisation som ToddyCat APT.

Inledningsvis var ToddyCat APT fokuserad på att äventyra utvalda Exchange-servrar i Taiwan och Vietnam. Men strax efter det började de rikta in sig på många organisationer i både Europa och Asien genom att missbruka ProxyLogon-sårbarheten. En av slutskedets nyttolaster som levereras till de komprometterade systemen är Samurai Backdoor.

För att förbereda det brutna systemet för nyttolaster i senare skede, distribuerar hotaktörerna först ett dropperhot. Det är ansvarigt för att installera de andra hotfulla komponenterna och skapa flera registernycklar som kan tvinga den legitima 'svchost.exe'-processen att ladda Samurai skadlig kod. Hotet är en modulär bakdörr som är utrustad med flera antianalystekniker. Infosec-forskarna noterar att Samurai har obfuskerat med en specifik algoritm, flera av dess funktioner tilldelas slumpmässiga namn, och den inkluderar flera slingor och switchfall som orsakar hopp mellan instruktioner.

Hotets olika moduler är designade för att hantera specifika uppgifter, beroende på de mottagna kommandona. Hittills kan de identifierade skadade modulerna exekvera godtyckliga kommandon via cmd, manipulera filsystemet och ladda upp utvalda filer från intrångade system. Samurai kan också upprätta en anslutning till en fjärransluten IP-adress och TCP-port. Om motsvarande kommando tas emot kan skadlig programvara också vidarebefordra en nyttolast som tagits emot via en HTTP-förfrågan till fjärr-IP-adressen, eller hämta en därifrån.

Trendigt

Mest sedda

Läser in...