Threat Database Backdoors Samurai Backdoor

Samurai Backdoor

சாமுராய் பேக்டோர் அச்சுறுத்தல் என்பது முன்னர் அறியப்படாத APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழுவின் அச்சுறுத்தும் ஆயுதக் களஞ்சியத்தின் ஒரு பகுதியாகும். டிசம்பர் 2020 இல் அவர்களின் செயல்பாடுகளின் முதல் அறிகுறிகளுடன் சைபர் கிரைமினல்கள் ஒப்பீட்டளவில் விரைவில் தங்கள் நடவடிக்கைகளைத் தொடங்கினர். குழு, அதன் இலக்குகள் மற்றும் தீம்பொருள் கருவிகள் பற்றிய கூடுதல் விவரங்கள் ஆராய்ச்சியாளர்களின் அறிக்கையில் வெளிப்படுத்தப்பட்டுள்ளன. இந்த சைபர் கிரைமினல் அமைப்பை ToddyCat APT என கண்காணித்து வருவதாக சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் கூறுகின்றனர்.

ஆரம்பத்தில், ToddyCat APT ஆனது தைவான் மற்றும் வியட்நாமில் அமைந்துள்ள தேர்ந்தெடுக்கப்பட்ட எக்ஸ்சேஞ்ச் சர்வர்களை சமரசம் செய்வதில் கவனம் செலுத்தியது. இருப்பினும், அதற்குப் பிறகு, அவர்கள் ப்ராக்ஸிலோகன் பாதிப்பை தவறாகப் பயன்படுத்தி ஐரோப்பா மற்றும் ஆசியாவில் உள்ள பல நிறுவனங்களை குறிவைக்கத் தொடங்கினர். சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு வழங்கப்படும் இறுதி-நிலை பேலோடுகளில் ஒன்று சாமுராய் பேக்டோர் ஆகும்.

பிந்தைய நிலை பேலோடுகளுக்கு மீறப்பட்ட அமைப்பைத் தயாரிக்க, அச்சுறுத்தல் நடிகர்கள் முதலில் ஒரு துளிசொட்டி அச்சுறுத்தலைப் பயன்படுத்துகின்றனர். மற்ற அச்சுறுத்தும் கூறுகளை நிறுவுவதற்கும், சாமுராய் தீம்பொருளை ஏற்றுவதற்கு முறையான 'svchost.exe' செயல்முறையை கட்டாயப்படுத்தும் திறன் கொண்ட பல ரெஜிஸ்ட்ரி விசைகளை உருவாக்குவதற்கும் இது பொறுப்பாகும். அச்சுறுத்தல் என்பது பல பகுப்பாய்வு எதிர்ப்பு நுட்பங்களைக் கொண்ட ஒரு மட்டு கதவு ஆகும். இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் சாமுராய் ஒரு குறிப்பிட்ட அல்காரிதம் மூலம் தெளிவற்றதாகக் குறிப்பிடுகின்றனர், அதன் பல செயல்பாடுகளுக்கு சீரற்ற பெயர்கள் ஒதுக்கப்பட்டுள்ளன, மேலும் இது அறிவுறுத்தல்களுக்கு இடையே தாவல்களை ஏற்படுத்தும் பல சுழல்கள் மற்றும் சுவிட்ச் கேஸ்களை உள்ளடக்கியது.

பெறப்பட்ட கட்டளைகளைப் பொறுத்து, அச்சுறுத்தலின் வெவ்வேறு தொகுதிகள் குறிப்பிட்ட பணிகளைக் கையாள வடிவமைக்கப்பட்டுள்ளன. இதுவரை, அடையாளம் காணப்பட்ட சிதைந்த தொகுதிகள் cmd வழியாக தன்னிச்சையான கட்டளைகளை இயக்கவும், கோப்பு முறைமையை கையாளவும் மற்றும் மீறப்பட்ட கணினிகளிலிருந்து தேர்ந்தெடுக்கப்பட்ட கோப்புகளைப் பதிவேற்றவும் முடியும். சாமுராய் தொலைநிலை ஐபி முகவரி மற்றும் டிசிபி போர்ட்டுடன் தொடர்பை ஏற்படுத்த முடியும். தொடர்புடைய கட்டளை பெறப்பட்டால், மால்வேர் HTTP கோரிக்கை மூலம் பெறப்பட்ட பேலோடை தொலைநிலை IP முகவரிக்கு அனுப்பலாம் அல்லது அங்கிருந்து ஒன்றைப் பெறலாம்.

டிரெண்டிங்

அதிகம் பார்க்கப்பட்டது

ஏற்றுகிறது...