Samurai bakdør brukt av ny trusselskuespiller
En relativt ny trusselaktør har utført flere angrep mot store mål i både Europa og Asia. Hackergruppen har blitt kalt "ToddyCat" og et av verktøyene som brukes av antrekket er Samurai-bakdøren.
ToddyCat har eksistert i et par år, først rettet mot enheter lokalisert i Taiwan og Vietnam, med start i den siste måneden av 2020. Siden den gang har det kriminelle antrekket inkludert organisasjoner lokalisert i Europa på listen over mål.
Opprinnelig brukte ToddyCat en tidligere ukjent sårbarhet i Mircosoft Exchange for å angripe servere i asiatiske land. Angrep brukte en dropper som tar seg av å distribuere de andre komponentene som ble brukt i angrepet. Den oppretter også en rekke nye registernøkler og legger dem til i offersystemets register. Dette gjøres for å tvinge lasting av Samurai-bakdøren gjennom svchost.exe - en legitim komponent i et Windows-system.
Selve Samurai-bakdøren er kodet i C# og fungerer ved å lytte etter spesielle forespørsler som har kryptert C#-kode. Koden mottatt på denne måten kompileres, og kjøres deretter av bakdøren under kjøring.
Navnet Samurai kommer fra bruken av ordbøker som inneholder ordet "samurai" i dem, brukt til å lagre gjeldende katalog som skadelig programvare er aktiv i.
Bakdøren kan kompilere fem separate moduler mottatt som kode, inkludert moduler som er ansvarlige for fjernkontroll, filoppregning og tyveri samt proxy-funksjonalitet.