Samurai Backdoor

Mối đe dọa Samurai Backdoor là một phần của kho vũ khí đe dọa của một nhóm APT (Mối đe dọa liên tục nâng cao) chưa từng được biết đến trước đây. Các tội phạm mạng bắt đầu hoạt động tương đối sớm với những dấu hiệu đầu tiên về hoạt động của chúng được phát hiện vào tháng 12 năm 2020. Thông tin chi tiết về nhóm, các mục tiêu và các công cụ phần mềm độc hại, đã được các nhà nghiên cứu tiết lộ trong một báo cáo. Các nhà nghiên cứu an ninh mạng tuyên bố rằng họ đang theo dõi tổ chức tội phạm mạng này với tên gọi ToddyCat APT.

Ban đầu, ToddyCat APT tập trung vào việc thỏa hiệp các máy chủ Exchange được chọn đặt tại Đài Loan và Việt Nam. Tuy nhiên, ngay sau đó, họ bắt đầu nhắm mục tiêu vào nhiều tổ chức ở cả Châu Âu và Châu Á bằng cách lạm dụng lỗ hổng ProxyLogon. Một trong những trọng tải ở giai đoạn cuối được phân phối đến các hệ thống bị xâm nhập là Samurai Backdoor.

Để chuẩn bị hệ thống bị vi phạm cho các tải trọng ở giai đoạn sau, các tác nhân đe dọa trước tiên triển khai một mối đe dọa nhỏ giọt. Nó chịu trách nhiệm cài đặt các thành phần đe dọa khác và tạo một số khóa Đăng ký có khả năng buộc quá trình 'svchost.exe' hợp pháp tải phần mềm độc hại Samurai. Mối đe dọa là một cửa hậu mô-đun được trang bị một số kỹ thuật chống phân tích. Các nhà nghiên cứu infosec lưu ý rằng Samurai đã xáo trộn với một thuật toán cụ thể, một số chức năng của nó được gán tên ngẫu nhiên và nó bao gồm nhiều vòng lặp và các trường hợp chuyển đổi gây ra nhảy giữa các lệnh.

Các mô-đun khác nhau của mối đe dọa được thiết kế để xử lý các tác vụ cụ thể, tùy thuộc vào các lệnh nhận được. Cho đến nay, các mô-đun bị hỏng được xác định có khả năng thực hiện các lệnh tùy ý thông qua cmd, thao tác hệ thống tệp và tải lên các tệp được chọn từ hệ thống bị vi phạm. Samurai cũng có thể thiết lập kết nối với địa chỉ IP từ xa và cổng TCP. Nếu nhận được lệnh tương ứng, phần mềm độc hại cũng có thể chuyển tiếp tải trọng nhận được qua một yêu cầu HTTP đến địa chỉ IP từ xa hoặc tìm nạp một tải trọng từ đó.