Samurai Backdoor

ภัยคุกคาม Samurai Backdoor เป็นส่วนหนึ่งของคลังอาวุธที่น่ากลัวของกลุ่ม APT (Advanced Persistent Threat) ที่ไม่เคยรู้จักมาก่อน อาชญากรไซเบอร์เริ่มทำกิจกรรมได้ไม่นาน โดยเริ่มตรวจพบสัญญาณแรกของการดำเนินงานในเดือนธันวาคม 2563 รายละเอียดเพิ่มเติมเกี่ยวกับกลุ่ม เป้าหมาย และเครื่องมือมัลแวร์ ถูกเปิดเผยในรายงานโดยนักวิจัย นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่าพวกเขากำลังติดตามองค์กรอาชญากรไซเบอร์ในชื่อ ToddyCat APT

ในขั้นต้น ToddyCat APT มุ่งเน้นไปที่การประนีประนอมเซิร์ฟเวอร์ Exchange ที่เลือกไว้ในไต้หวันและเวียดนาม อย่างไรก็ตาม หลังจากนั้นไม่นาน พวกเขาก็เริ่มกำหนดเป้าหมายองค์กรจำนวนมากทั้งในยุโรปและเอเชียโดยใช้ช่องโหว่ ProxyLogon หนึ่งใน payloads ขั้นสุดท้ายที่ส่งไปยังระบบที่ถูกบุกรุกคือ Samurai Backdoor

เพื่อเตรียมระบบที่ถูกเจาะระบบสำหรับเพย์โหลดขั้นต่อมา ผู้คุกคามจะปรับใช้ภัยคุกคามแบบหยดก่อน มีหน้าที่รับผิดชอบในการติดตั้งส่วนประกอบที่เป็นอันตรายอื่นๆ และสร้างคีย์รีจิสทรีหลายตัวที่สามารถบังคับกระบวนการ 'svchost.exe' ที่ถูกต้องตามกฎหมายให้โหลดมัลแวร์ Samurai ภัยคุกคามคือแบ็คดอร์แบบโมดูลาร์ที่ติดตั้งเทคนิคการต่อต้านการวิเคราะห์หลายอย่าง นักวิจัยของ infosec สังเกตว่า Samurai ได้สับสนกับอัลกอริธึมเฉพาะ ฟังก์ชันหลายอย่างได้รับการกำหนดชื่อแบบสุ่ม และประกอบด้วยหลายลูปและกรณีสลับที่ทำให้เกิดการข้ามระหว่างคำสั่งต่างๆ

โมดูลต่างๆ ของภัยคุกคามได้รับการออกแบบมาเพื่อจัดการกับงานเฉพาะ ขึ้นอยู่กับคำสั่งที่ได้รับ จนถึงตอนนี้ โมดูลที่เสียหายที่ระบุสามารถเรียกใช้คำสั่งโดยอำเภอใจผ่าน cmd จัดการระบบไฟล์ และอัปโหลดไฟล์ที่เลือกจากระบบที่ละเมิด Samurai ยังสามารถสร้างการเชื่อมต่อกับที่อยู่ IP ระยะไกลและพอร์ต TCP หากได้รับคำสั่งที่เกี่ยวข้อง มัลแวร์ยังสามารถส่งต่อข้อมูลที่ได้รับผ่านคำขอ HTTP ไปยังที่อยู่ IP ระยะไกล หรือดึงข้อมูลจากที่นั่น