Samurai bagdør brugt af ny trusselskuespiller

En relativt ny trusselsaktør har gennemført adskillige angreb mod store mål i både Europa og Asien. Hackergruppen er blevet døbt "ToddyCat", og et af de værktøjer, som outfittet bruger, er Samurai-bagdøren.

ToddyCat har eksisteret i et par år, i første omgang rettet mod enheder i Taiwan og Vietnam, startende i den sidste måned af 2020. Siden da har det kriminelle tøj inkluderet organisationer i Europa på sin liste over mål.

Oprindeligt brugte ToddyCat en hidtil ukendt sårbarhed i Mircosoft Exchange til at angribe servere i asiatiske lande. Angreb brugte en dropper, der sørger for at implementere de andre komponenter, der blev brugt i angrebet. Det opretter også en række nye registreringsnøgler og føjer dem til offersystemets register. Dette gøres for at tvinge indlæsningen af Samurai-bagdøren gennem svchost.exe - en legitim komponent i et Windows-system.

Selve Samurai-bagdøren er kodet i C# og fungerer ved at lytte efter specielle anmodninger, der har krypteret C#-kode. Koden modtaget på denne måde kompileres og udføres derefter af bagdøren under kørsel.

Navnet Samurai kommer fra brugen af ordbøger, der indeholder ordet "samurai" i dem, brugt til at gemme den aktuelle mappe, som malwaren er aktiv i.

Bagdøren kan kompilere fem separate moduler modtaget som kode, inklusive moduler, der er ansvarlige for fjernbetjening, filopregning og tyveri samt proxy-funktionalitet.