Samurai arka kapı

Samurai Backdoor tehdidi, önceden bilinmeyen bir APT (Gelişmiş Kalıcı Tehdit) grubunun tehditkar cephaneliğinin bir parçasıdır. Siber suçlular, faaliyetlerinin ilk belirtilerinin Aralık 2020'de tespit edilmesiyle nispeten kısa bir süre içinde faaliyetlerine başladılar. Grup, hedefleri ve kötü amaçlı yazılım araçları hakkında daha fazla ayrıntı, araştırmacılar tarafından bir raporda ortaya çıktı. Siber güvenlik araştırmacıları, bu siber suç örgütünü ToddyCat APT olarak takip ettiklerini belirtiyorlar.

Başlangıçta, ToddyCat APT, Tayvan ve Vietnam'da bulunan seçili Exchange sunucularından ödün vermeye odaklanmıştı. Ancak bundan kısa bir süre sonra, ProxyLogon güvenlik açığını kötüye kullanarak hem Avrupa'da hem de Asya'da çok sayıda kuruluşu hedef almaya başladılar. Güvenliği ihlal edilmiş sistemlere teslim edilen son aşama yüklerinden biri Samurai Arka Kapısıdır.

İhlal edilen sistemi sonraki aşama yüklere hazırlamak için, tehdit aktörleri önce bir damlalık tehdidi uygular. Diğer tehdit edici bileşenleri kurmaktan ve meşru 'svchost.exe' sürecini Samurai kötü amaçlı yazılımını yüklemeye zorlayabilecek birkaç Kayıt Defteri anahtarı oluşturmaktan sorumludur. Tehdit, çeşitli anti-analiz teknikleri ile donatılmış modüler bir arka kapıdır. Infosec araştırmacıları, Samurai belirli bir algoritma ile karıştırıldığını, bazı işlevlerine rastgele adlar atandığını ve talimatlar arasında atlamalara neden olan birden çok döngü ve anahtar durumu içerdiğini belirtiyor.

Tehdidin farklı modülleri, alınan komutlara bağlı olarak belirli görevleri yerine getirmek için tasarlanmıştır. Şimdiye kadar, tanımlanan bozuk modüller cmd aracılığıyla rastgele komutlar yürütebilir, dosya sistemini manipüle edebilir ve ihlal edilen sistemlerden seçilen dosyaları karşıya yükleyebilir. Samurai ayrıca uzak bir IP adresine ve TCP bağlantı noktasına bağlantı kurabilir. Karşılık gelen komut alınırsa, kötü amaçlı yazılım ayrıca bir HTTP isteği aracılığıyla alınan bir yükü uzak IP adresine iletebilir veya oradan bir tane alabilir.