Samurai Backdoor
Samurai Backdoor 威脅是以前未知的 APT(高級持續威脅)組織的威脅性武器庫的一部分。網絡犯罪分子相對較快地開始了他們的活動,並在 2020 年 12 月發現了他們的行動的最初跡象。研究人員在一份報告中披露了有關該組織、其目標和惡意軟件工具的更多細節。網絡安全研究人員表示,他們正在將這個網絡犯罪組織稱為 ToddyCat APT。
最初,ToddyCat APT 專注於攻擊位於台灣和越南的選定 Exchange 服務器。然而,不久之後,他們開始通過濫用 ProxyLogon 漏洞攻擊歐洲和亞洲的眾多組織。 Samurai 後門是交付給受感染系統的最終階段有效載荷之一。
為了為後期有效載荷準備被破壞的系統,威脅參與者首先部署了一個 dropper 威脅。它負責安裝其他威脅組件並創建多個註冊表項,這些註冊表項能夠強制合法的“svchost.exe”進程加載 Samurai 惡意軟件。威脅是一個模塊化的後門,它配備了多種反分析技術。信息安全研究人員指出,Samurai 使用特定算法進行了混淆,它的幾個函數被分配了隨機名稱,並且它包括多個循環和導致指令之間跳轉的切換案例。
威脅的不同模塊旨在處理特定任務,具體取決於接收到的命令。到目前為止,已識別的損壞模塊能夠通過 cmd 執行任意命令、操縱文件系統以及從被破壞的系統上傳選定的文件。 Samurai 還可以建立到遠程 IP 地址和 TCP 端口的連接。如果收到相應的命令,惡意軟件還可以將通過 HTTP 請求接收到的有效負載轉發到遠程 IP 地址,或從那裡獲取一個。
