Samurai-achterdeur gebruikt door nieuwe bedreigingsacteur

Een relatief nieuwe dreigingsactor heeft meerdere aanvallen uitgevoerd op grote doelen in zowel Europa als Azië. De hackergroep is "ToddyCat" genoemd en een van de tools die door de groep worden gebruikt, is de Samurai-achterdeur.

ToddyCat bestaat al een paar jaar en richtte zich aanvankelijk op entiteiten in Taiwan en Vietnam, te beginnen in de laatste maand van 2020. Sindsdien heeft de criminele groep organisaties in Europa op de lijst met doelen gezet.

Aanvankelijk gebruikte ToddyCat een voorheen onbekende kwetsbaarheid in Mircosoft Exchange om servers in Aziatische landen aan te vallen. Aanvallen gebruikten een druppelaar die zorgt voor het inzetten van de andere componenten die bij de aanval worden gebruikt. Het creëert ook een aantal nieuwe registersleutels en voegt deze toe aan het register van het slachtoffersysteem. Dit wordt gedaan om het laden van de Samurai-achterdeur te forceren via svchost.exe - een legitiem onderdeel van een Windows-systeem.

De Samurai-achterdeur zelf is gecodeerd in C# en werkt door te luisteren naar speciale verzoeken die versleutelde C#-code bevatten. De code die op deze manier wordt ontvangen, wordt gecompileerd en vervolgens uitgevoerd door de achterdeur tijdens runtime.

De naam Samurai komt van het gebruik van woordenboeken met het woord "samurai" erin, die worden gebruikt voor het opslaan van de huidige map waarin de malware actief is.

De achterdeur kan vijf afzonderlijke modules compileren die als code worden ontvangen, waaronder modules die verantwoordelijk zijn voor afstandsbediening, bestandsopsomming en diefstal, evenals proxy-functionaliteit.