Samurai Backdoor
సమురాయ్ బ్యాక్డోర్ ముప్పు అనేది మునుపు తెలియని APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) సమూహం యొక్క బెదిరింపు ఆయుధశాలలో భాగం. సైబర్ నేరగాళ్లు తమ కార్యకలాపాలకు సంబంధించిన మొదటి సంకేతాలను డిసెంబర్ 2020లో గుర్తించడంతో చాలా త్వరగానే తమ కార్యకలాపాలను ప్రారంభించారు. గ్రూప్, దాని లక్ష్యాలు మరియు మాల్వేర్ సాధనాల గురించిన మరిన్ని వివరాలు పరిశోధకుల నివేదికలో వెల్లడయ్యాయి. ఈ సైబర్క్రిమినల్ సంస్థను టాడీక్యాట్ APTగా ట్రాక్ చేస్తున్నామని సైబర్ సెక్యూరిటీ పరిశోధకులు పేర్కొన్నారు.
ప్రారంభంలో, ToddyCat APT తైవాన్ మరియు వియత్నాంలో ఉన్న ఎంచుకున్న ఎక్స్ఛేంజ్ సర్వర్లను రాజీ చేయడంపై దృష్టి పెట్టింది. అయినప్పటికీ, ఆ వెంటనే, వారు ప్రాక్సీలాగాన్ దుర్బలత్వాన్ని దుర్వినియోగం చేయడం ద్వారా యూరప్ మరియు ఆసియా రెండింటిలోనూ అనేక సంస్థలను లక్ష్యంగా చేసుకోవడం ప్రారంభించారు. రాజీపడిన సిస్టమ్లకు డెలివరీ చేయబడిన ముగింపు-దశ పేలోడ్లలో ఒకటి సమురాయ్ బ్యాక్డోర్.
తరువాతి-దశ పేలోడ్ల కోసం ఉల్లంఘించిన సిస్టమ్ను సిద్ధం చేయడానికి, బెదిరింపు నటులు ముందుగా డ్రాపర్ థ్రెట్ను అమలు చేస్తారు. ఇది ఇతర బెదిరింపు భాగాలను ఇన్స్టాల్ చేయడం మరియు సమురాయ్ మాల్వేర్ను లోడ్ చేయడానికి చట్టబద్ధమైన 'svchost.exe' ప్రక్రియను బలవంతం చేయగల అనేక రిజిస్ట్రీ కీలను సృష్టించడం బాధ్యత. ముప్పు అనేది అనేక వ్యతిరేక విశ్లేషణ పద్ధతులతో కూడిన మాడ్యులర్ బ్యాక్డోర్. ఇన్ఫోసెక్ పరిశోధకులు సమురాయ్ నిర్దిష్ట అల్గారిథమ్తో అస్పష్టంగా ఉందని గమనించారు, దాని అనేక విధులు యాదృచ్ఛిక పేర్లను కేటాయించాయి మరియు ఇది సూచనల మధ్య జంప్లకు కారణమయ్యే బహుళ లూప్లు మరియు స్విచ్ కేసులను కలిగి ఉంటుంది.
ముప్పు యొక్క విభిన్న మాడ్యూల్స్ అందుకున్న ఆదేశాలపై ఆధారపడి నిర్దిష్ట పనులను నిర్వహించడానికి రూపొందించబడ్డాయి. ఇప్పటివరకు, గుర్తించబడిన పాడైన మాడ్యూల్లు cmd ద్వారా ఏకపక్ష ఆదేశాలను అమలు చేయగలవు, ఫైల్ సిస్టమ్ను మార్చగలవు మరియు ఉల్లంఘించిన సిస్టమ్ల నుండి ఎంచుకున్న ఫైల్లను అప్లోడ్ చేయగలవు. సమురాయ్ కూడా రిమోట్ IP చిరునామా మరియు TCP పోర్ట్కి కనెక్షన్ని ఏర్పాటు చేయగలదు. సంబంధిత కమాండ్ స్వీకరించబడితే, మాల్వేర్ కూడా HTTP అభ్యర్థన ద్వారా అందుకున్న పేలోడ్ను రిమోట్ IP చిరునామాకు ఫార్వార్డ్ చేయవచ్చు లేదా అక్కడ నుండి ఒకదాన్ని పొందవచ్చు.
