Samurai Backdoor utilizzato da New Threat Actor

Un attore di minacce relativamente nuovo ha portato a termine molteplici attacchi contro grandi obiettivi sia in Europa che in Asia. Il gruppo di hacker è stato soprannominato "ToddyCat" e uno degli strumenti utilizzati dall'outfit è la backdoor dei samurai.

ToddyCat è in circolazione da un paio d'anni, inizialmente prendendo di mira entità con sede a Taiwan e in Vietnam, a partire dall'ultimo mese del 2020. Da allora l'organizzazione criminale ha incluso organizzazioni con sede in Europa nella sua lista di obiettivi.

Inizialmente, ToddyCat ha utilizzato una vulnerabilità precedentemente sconosciuta in Mircosoft Exchange per attaccare i server situati nei paesi asiatici. Gli attacchi hanno utilizzato un contagocce che si occupa di schierare gli altri componenti utilizzati nell'attacco. Crea anche una serie di nuove chiavi di registro e le aggiunge al registro del sistema della vittima. Questo viene fatto per forzare il caricamento della backdoor Samurai tramite svchost.exe, un componente legittimo di un sistema Windows.

La stessa backdoor Samurai è codificata in C# e opera ascoltando richieste speciali che contengono codice C# crittografato. Il codice ricevuto in questo modo viene compilato, quindi eseguito dalla backdoor in fase di esecuzione.

Il nome Samurai deriva dall'uso di dizionari contenenti la parola "samurai", utilizzata per memorizzare la directory corrente in cui è attivo il malware.

La backdoor può compilare cinque moduli separati ricevuti come codice, inclusi i moduli responsabili del controllo remoto, dell'enumerazione dei file e del furto, nonché della funzionalità proxy.