Samurai Backdoor

Загроза Samurai Backdoor є частиною загрозливого арсеналу раніше невідомої групи APT (Advanced Persistent Threat). Кіберзлочинці почали свою діяльність відносно скоро, перші ознаки їх діяльності були виявлені в грудні 2020 року. Більш детальну інформацію про групу, її цілі та засоби шкідливого програмного забезпечення розкрито у звіті дослідників. Дослідники кібербезпеки заявляють, що вони відстежують цю кіберзлочинну організацію як ToddyCat APT.

Спочатку ToddyCat APT був зосереджений на компрометації окремих серверів Exchange, розташованих на Тайвані та В’єтнамі. Однак незабаром після цього вони почали орієнтуватися на численні організації в Європі та Азії, зловживаючи вразливістю ProxyLogon. Одним із кінцевих корисних навантажень, які доставляють скомпрометовані системи, є Samurai Backdoor.

Щоб підготувати зламану систему до корисних навантажень пізнішої стадії, суб’єкти загроз спочатку розгортають загрозу-дроппер. Він відповідає за встановлення інших загрозливих компонентів і створення кількох ключів реєстру, здатних змусити законний процес 'svchost.exe' завантажити зловмисне програмне забезпечення Samurai. Загроза — це модульний бекдор, який оснащений кількома методами антианалізу. Дослідники Infosec відзначають, що Samurai заплутався за допомогою певного алгоритму, декільком його функціям присвоєні випадкові імена, і він включає кілька циклів і випадків перемикання, які викликають стрибки між інструкціями.

Різні модулі загрози призначені для виконання конкретних завдань залежно від отриманих команд. Поки що виявлені пошкоджені модулі здатні виконувати довільні команди через cmd, маніпулювати файловою системою та завантажувати вибрані файли із зламаних систем. Самурай також може встановити з'єднання з віддаленою IP-адресою і TCP-портом. Якщо отримано відповідну команду, зловмисне програмне забезпечення також може переслати корисне навантаження, отримане через HTTP-запит, на віддалену IP-адресу або отримати її звідти.