Samurai Backdoor που χρησιμοποιείται από τον New Threat Actor

Ένας σχετικά νέος παράγοντας απειλής έχει πραγματοποιήσει πολλαπλές επιθέσεις εναντίον μεγάλων στόχων τόσο στην Ευρώπη όσο και στην Ασία. Η ομάδα χάκερ έχει ονομαστεί "ToddyCat" και ένα από τα εργαλεία που χρησιμοποιεί η στολή είναι η κερκόπορτα Samurai.

Το ToddyCat κυκλοφορεί εδώ και μερικά χρόνια, αρχικά στοχεύοντας οντότητες που βρίσκονται στην Ταϊβάν και το Βιετνάμ, ξεκινώντας από τον τελευταίο μήνα του 2020. Έκτοτε, η εγκληματική ομάδα έχει συμπεριλάβει οργανισμούς που βρίσκονται στην Ευρώπη στη λίστα με τους στόχους της.

Αρχικά, το ToddyCat χρησιμοποίησε μια προηγουμένως άγνωστη ευπάθεια στο Mircosoft Exchange για να επιτεθεί σε διακομιστές που βρίσκονται σε ασιατικές χώρες. Το Attacks χρησιμοποίησε ένα σταγονόμετρο που φροντίζει για την ανάπτυξη των άλλων στοιχείων που χρησιμοποιούνται στην επίθεση. Δημιουργεί επίσης έναν αριθμό νέων κλειδιών μητρώου και τα προσθέτει στο μητρώο του συστήματος θυμάτων. Αυτό γίνεται για να εξαναγκαστεί η φόρτωση της κερκόπορτας Samurai μέσω του svchost.exe - ένα νόμιμο στοιχείο ενός συστήματος Windows.

Η ίδια η κερκόπορτα Samurai είναι κωδικοποιημένη σε C# και λειτουργεί ακούγοντας ειδικά αιτήματα που έχουν κρυπτογραφημένο κώδικα C# σε αυτές. Ο κώδικας που λαμβάνεται με αυτόν τον τρόπο μεταγλωττίζεται και στη συνέχεια εκτελείται από το backdoor κατά το χρόνο εκτέλεσης.

Το όνομα Σαμουράι προέρχεται από τη χρήση λεξικών που περιέχουν τη λέξη "σαμουράι" σε αυτά, που χρησιμοποιούνται για την αποθήκευση του τρέχοντος καταλόγου στον οποίο είναι ενεργό το κακόβουλο λογισμικό.

Το backdoor μπορεί να μεταγλωττίσει πέντε ξεχωριστές μονάδες που λαμβάνονται ως κώδικας, συμπεριλαμβανομένων μονάδων που είναι υπεύθυνες για τηλεχειρισμό, απαρίθμηση αρχείων και κλοπή, καθώς και λειτουργικότητα διακομιστή μεσολάβησης.