Porte dérobée de samouraï utilisée par un nouvel acteur menaçant

Un acteur menaçant relativement nouveau a réussi de multiples attaques contre de grandes cibles en Europe et en Asie. Le groupe de hackers a été surnommé "ToddyCat" et l'un des outils utilisés par l'équipe est la porte dérobée Samurai.

ToddyCat existe depuis quelques années, ciblant initialement des entités situées à Taïwan et au Vietnam, à partir du dernier mois de 2020. Depuis lors, la tenue criminelle a inclus des organisations situées en Europe sur sa liste de cibles.

Initialement, ToddyCat a utilisé une vulnérabilité jusque-là inconnue dans Mircosoft Exchange pour attaquer des serveurs situés dans des pays asiatiques. Les attaques ont utilisé un compte-gouttes qui se charge de déployer les autres composants utilisés dans l'attaque. Il crée également un certain nombre de nouvelles clés de registre et les ajoute au registre du système victime. Ceci est fait pour forcer le chargement de la porte dérobée Samurai via svchost.exe - un composant légitime d'un système Windows.

La porte dérobée Samurai elle-même est codée en C # et fonctionne en écoutant les demandes spéciales contenant du code C # crypté. Le code ainsi reçu est compilé, puis exécuté par la porte dérobée au moment de l'exécution.

Le nom Samurai vient de l'utilisation de dictionnaires contenant le mot "samouraï", utilisé pour stocker le répertoire actuel dans lequel le malware est actif.

La porte dérobée peut compiler cinq modules distincts reçus sous forme de code, y compris des modules responsables du contrôle à distance, de l'énumération des fichiers et du vol ainsi que des fonctionnalités de proxy.