Samurajų užpakalinės durys, kurias naudoja naujasis grėsmės veikėjas
Palyginti naujas grėsmės veikėjas surengė daugybę išpuolių prieš didelius taikinius tiek Europoje, tiek Azijoje. Įsilaužėlių grupė buvo pavadinta „ToddyCat“, o vienas iš aprangos naudojamų įrankių yra Samurai backdoor.
„ToddyCat“ gyvuoja porą metų ir iš pradžių taikėsi į subjektus, esančius Taivane ir Vietname, pradedant nuo paskutinio 2020 m. mėnesio. Nuo tada nusikaltėlių grupė į savo taikinių sąrašą įtraukė ir Europoje įsikūrusias organizacijas.
Iš pradžių ToddyCat naudojo anksčiau nežinomą Mircosoft Exchange pažeidžiamumą, kad atakuotų serverius, esančius Azijos šalyse. Atakose buvo naudojamas lašintuvas, kuris rūpinasi kitų atakoje naudojamų komponentų dislokavimu. Ji taip pat sukuria daugybę naujų registro raktų ir įtraukia juos į aukos sistemos registrą. Tai daroma norint priversti įkelti Samurai backdoor per svchost.exe – teisėtą „Windows“ sistemos komponentą.
Pats Samurai backdoor yra užkoduotas C# ir veikia klausydamas specialių užklausų, kuriose yra užšifruotas C# kodas. Tokiu būdu gautas kodas sukompiliuojamas, o paleidimo metu jį vykdo užpakalinės durys.
Pavadinimas Samurajus kilęs iš žodynų, kuriuose yra žodis „samurai“, naudojimo, naudojamų dabartiniam katalogui, kuriame veikia kenkėjiška programa, saugoti.
Užpakalinės durys gali sudaryti penkis atskirus modulius, gautus kaip kodą, įskaitant modulius, atsakingus už nuotolinį valdymą, failų surašymą ir vagystę, taip pat tarpinio serverio funkcijas.