Samurai-Hintertür, die von neuem Bedrohungsakteur verwendet wird

Ein relativ neuer Bedrohungsakteur hat mehrere Angriffe auf große Ziele in Europa und Asien durchgeführt. Die Hackergruppe wurde „ToddyCat“ genannt und eines der Tools, die von der Gruppe verwendet werden, ist die Samurai-Hintertür.

ToddyCat gibt es seit einigen Jahren und zielte zunächst im letzten Monat des Jahres 2020 auf Unternehmen in Taiwan und Vietnam ab. Seitdem hat die kriminelle Gruppe Organisationen mit Sitz in Europa auf ihre Liste der Ziele gesetzt.

Zunächst nutzte ToddyCat eine bisher unbekannte Schwachstelle in Microsoft Exchange, um Server anzugreifen, die sich in asiatischen Ländern befinden. Angriffe verwendeten einen Dropper, der sich um die Bereitstellung der anderen beim Angriff verwendeten Komponenten kümmert. Es erstellt auch eine Reihe neuer Registrierungsschlüssel und fügt sie der Registrierung des Opfersystems hinzu. Dies geschieht, um das Laden der Samurai-Hintertür durch svchost.exe zu erzwingen – eine legitime Komponente eines Windows-Systems.

Die Samurai-Hintertür selbst ist in C# codiert und arbeitet, indem sie auf spezielle Anfragen wartet, die verschlüsselten C#-Code enthalten. Der so erhaltene Code wird kompiliert und dann zur Laufzeit von der Hintertür ausgeführt.

Der Name Samurai kommt von der Verwendung von Wörterbüchern, die das Wort „Samurai“ enthalten und zum Speichern des aktuellen Verzeichnisses verwendet werden, in dem die Malware aktiv ist.

Die Hintertür kann fünf separate Module kompilieren, die als Code empfangen werden, darunter Module, die für Fernsteuerung, Dateiaufzählung und -diebstahl sowie Proxy-Funktionalität verantwortlich sind.