新しい脅威アクターが使用するサムライバックドア

比較的新しい脅威アクターが、ヨーロッパとアジアの両方で大きな標的に対する複数の攻撃を阻止しました。ハッカーグループは「ToddyCat」と呼ばれ、この衣装で使用されているツールの1つはSamuraiバックドアです。

ToddyCatは、2020年の最後の月から、当初は台湾とベトナムにあるエンティティをターゲットにして、数年前から存在しています。それ以来、犯罪組織は、ターゲットのリストにヨーロッパにある組織を含めています。

当初、ToddyCatは、Mircosoft Exchangeのこれまで知られていなかった脆弱性を使用して、アジア諸国にあるサーバーを攻撃しました。攻撃では、攻撃で使用された他のコンポーネントの展開を処理するドロッパーを使用しました。また、いくつかの新しいレジストリキーを作成し、それらを被害者のシステムのレジストリに追加します。これは、Windowsシステムの正当なコンポーネントであるsvchost.exeを介してSamuraiバックドアを強制的にロードするために行われます。

Samuraiバックドア自体はC＃でコード化されており、C＃コードが暗号化されている特別なリクエストをリッスンすることで動作します。この方法で受信したコードはコンパイルされ、実行時にバックドアによって実行されます。

Samuraiという名前は、マルウェアがアクティブになっている現在のディレクトリを格納するために使用される、「samurai」という単語を含む辞書の使用に由来しています。

バックドアは、リモートコントロール、ファイルの列挙、盗難、プロキシ機能を担当するモジュールを含む、コードとして受信した5つの個別のモジュールをコンパイルできます。