Samurai Backdoor
Samurai Backdoor 威胁是以前未知的 APT(高级持续威胁)组织的威胁性武器库的一部分。网络犯罪分子相对较快地开始了他们的活动,并在 2020 年 12 月发现了他们的行动的最初迹象。研究人员在一份报告中披露了有关该组织、其目标和恶意软件工具的更多细节。网络安全研究人员表示,他们正在将这个网络犯罪组织称为 ToddyCat APT。
最初,ToddyCat APT 专注于攻击位于台湾和越南的选定 Exchange 服务器。然而,不久之后,他们开始通过滥用 ProxyLogon 漏洞攻击欧洲和亚洲的众多组织。 Samurai 后门是交付给受感染系统的最终阶段有效载荷之一。
为了为后期有效载荷准备被破坏的系统,威胁参与者首先部署了一个 dropper 威胁。它负责安装其他威胁组件并创建多个注册表项,这些注册表项能够强制合法的“svchost.exe”进程加载 Samurai 恶意软件。威胁是一个模块化的后门,它配备了多种反分析技术。信息安全研究人员指出,Samurai 使用特定算法进行了混淆,它的几个函数被分配了随机名称,并且它包括多个循环和导致指令之间跳转的切换案例。
威胁的不同模块旨在处理特定任务,具体取决于接收到的命令。到目前为止,已识别的损坏模块能够通过 cmd 执行任意命令、操纵文件系统以及从被破坏的系统上传选定的文件。 Samurai 还可以建立到远程 IP 地址和 TCP 端口的连接。如果收到相应的命令,恶意软件还可以将通过 HTTP 请求接收到的有效负载转发到远程 IP 地址,或从那里获取一个。
