Samurai Backdoor
சாமுராய் பேக்டோர் அச்சுறுத்தல் என்பது முன்னர் அறியப்படாத APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழுவின் அச்சுறுத்தும் ஆயுதக் களஞ்சியத்தின் ஒரு பகுதியாகும். டிசம்பர் 2020 இல் அவர்களின் செயல்பாடுகளின் முதல் அறிகுறிகளுடன் சைபர் கிரைமினல்கள் ஒப்பீட்டளவில் விரைவில் தங்கள் நடவடிக்கைகளைத் தொடங்கினர். குழு, அதன் இலக்குகள் மற்றும் தீம்பொருள் கருவிகள் பற்றிய கூடுதல் விவரங்கள் ஆராய்ச்சியாளர்களின் அறிக்கையில் வெளிப்படுத்தப்பட்டுள்ளன. இந்த சைபர் கிரைமினல் அமைப்பை ToddyCat APT என கண்காணித்து வருவதாக சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்கள் கூறுகின்றனர்.
ஆரம்பத்தில், ToddyCat APT ஆனது தைவான் மற்றும் வியட்நாமில் அமைந்துள்ள தேர்ந்தெடுக்கப்பட்ட எக்ஸ்சேஞ்ச் சர்வர்களை சமரசம் செய்வதில் கவனம் செலுத்தியது. இருப்பினும், அதற்குப் பிறகு, அவர்கள் ப்ராக்ஸிலோகன் பாதிப்பை தவறாகப் பயன்படுத்தி ஐரோப்பா மற்றும் ஆசியாவில் உள்ள பல நிறுவனங்களை குறிவைக்கத் தொடங்கினர். சமரசம் செய்யப்பட்ட அமைப்புகளுக்கு வழங்கப்படும் இறுதி-நிலை பேலோடுகளில் ஒன்று சாமுராய் பேக்டோர் ஆகும்.
பிந்தைய நிலை பேலோடுகளுக்கு மீறப்பட்ட அமைப்பைத் தயாரிக்க, அச்சுறுத்தல் நடிகர்கள் முதலில் ஒரு துளிசொட்டி அச்சுறுத்தலைப் பயன்படுத்துகின்றனர். மற்ற அச்சுறுத்தும் கூறுகளை நிறுவுவதற்கும், சாமுராய் தீம்பொருளை ஏற்றுவதற்கு முறையான 'svchost.exe' செயல்முறையை கட்டாயப்படுத்தும் திறன் கொண்ட பல ரெஜிஸ்ட்ரி விசைகளை உருவாக்குவதற்கும் இது பொறுப்பாகும். அச்சுறுத்தல் என்பது பல பகுப்பாய்வு எதிர்ப்பு நுட்பங்களைக் கொண்ட ஒரு மட்டு கதவு ஆகும். இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் சாமுராய் ஒரு குறிப்பிட்ட அல்காரிதம் மூலம் தெளிவற்றதாகக் குறிப்பிடுகின்றனர், அதன் பல செயல்பாடுகளுக்கு சீரற்ற பெயர்கள் ஒதுக்கப்பட்டுள்ளன, மேலும் இது அறிவுறுத்தல்களுக்கு இடையே தாவல்களை ஏற்படுத்தும் பல சுழல்கள் மற்றும் சுவிட்ச் கேஸ்களை உள்ளடக்கியது.
பெறப்பட்ட கட்டளைகளைப் பொறுத்து, அச்சுறுத்தலின் வெவ்வேறு தொகுதிகள் குறிப்பிட்ட பணிகளைக் கையாள வடிவமைக்கப்பட்டுள்ளன. இதுவரை, அடையாளம் காணப்பட்ட சிதைந்த தொகுதிகள் cmd வழியாக தன்னிச்சையான கட்டளைகளை இயக்கவும், கோப்பு முறைமையை கையாளவும் மற்றும் மீறப்பட்ட கணினிகளிலிருந்து தேர்ந்தெடுக்கப்பட்ட கோப்புகளைப் பதிவேற்றவும் முடியும். சாமுராய் தொலைநிலை ஐபி முகவரி மற்றும் டிசிபி போர்ட்டுடன் தொடர்பை ஏற்படுத்த முடியும். தொடர்புடைய கட்டளை பெறப்பட்டால், மால்வேர் HTTP கோரிக்கை மூலம் பெறப்பட்ட பேலோடை தொலைநிலை IP முகவரிக்கு அனுப்பலாம் அல்லது அங்கிருந்து ஒன்றைப் பெறலாம்.