Az új fenyegető színész által használt szamuráj hátsó ajtó

Egy viszonylag új fenyegetés szereplője számos támadást intézett nagy célpontok ellen Európában és Ázsiában egyaránt. A hackercsoport a "ToddyCat" nevet kapta, és az egyik eszköz, amelyet az öltözet használ, a szamuráj hátsó ajtó.

A ToddyCat néhány éve létezik, kezdetben a tajvani és vietnámi entitásokat célozta meg, 2020 utolsó hónapjától kezdődően. Azóta a bűnözői szervezet felvette célpontjai közé az Európában található szervezeteket.

Kezdetben a ToddyCat a Mircosoft Exchange korábban ismeretlen biztonsági rését használta az ázsiai országokban található szerverek megtámadására. Az Attacks egy cseppentőt használt, amely gondoskodik a támadásban használt többi összetevő telepítéséről. Ezenkívül számos új rendszerleíró kulcsot hoz létre, és hozzáadja azokat az áldozat rendszerleíró adatbázisához. Ez azért történik, hogy kikényszerítsék a Samurai hátsó ajtó betöltését az svchost.exe fájlon keresztül, amely a Windows rendszer legitim összetevője.

Maga a szamuráj hátsó ajtó C#-ban van kódolva, és úgy működik, hogy figyeli a speciális kéréseket, amelyekben titkosított C# kód van. Az így kapott kódot lefordítja, majd futás közben a hátsó ajtó végrehajtja.

A szamuráj név a „szamuráj” szót tartalmazó szótárak használatából származik, amelyek az aktuális könyvtár tárolására szolgálnak, amelyben a rosszindulatú program aktív.

A hátsó ajtó öt különálló, kódként kapott modult tud összeállítani, beleértve a távirányításért, a fájlfelsorolásért és a lopásért, valamint a proxy funkciókért felelős modulokat.