Samurai Backdoor używany przez nowego aktora-zagrożenia

Stosunkowo nowy podmiot zajmujący się zagrożeniami przeprowadził wiele ataków na duże cele zarówno w Europie, jak i Azji. Grupa hakerów została nazwana „ToddyCat”, a jednym z narzędzi wykorzystywanych przez strój jest backdoor Samurai.

ToddyCat istnieje już od kilku lat, początkowo atakując podmioty zlokalizowane na Tajwanie i w Wietnamie, począwszy od ostatniego miesiąca 2020 r. Od tego czasu organizacja przestępcza umieściła na swojej liście celów organizacje zlokalizowane w Europie.

Początkowo ToddyCat wykorzystywał nieznaną wcześniej lukę w Mircosoft Exchange do atakowania serwerów zlokalizowanych w krajach azjatyckich. Ataki wykorzystywały dropper, który zajmuje się rozmieszczeniem innych komponentów użytych w ataku. Tworzy również szereg nowych kluczy rejestru i dodaje je do rejestru systemu ofiary. Ma to na celu wymuszenie załadowania backdoora Samurai przez svchost.exe — legalny składnik systemu Windows.

Backdoor Samurai jest zakodowany w C# i działa poprzez nasłuchiwanie specjalnych żądań, które zawierają w sobie zaszyfrowany kod C#. Otrzymany w ten sposób kod jest kompilowany, a następnie wykonywany przez backdoora w czasie wykonywania.

Nazwa Samurai pochodzi od użycia słowników zawierających w sobie słowo „samurai”, używane do przechowywania bieżącego katalogu, w którym aktywne jest szkodliwe oprogramowanie.

Backdoor może skompilować pięć oddzielnych modułów otrzymanych jako kod, w tym moduły odpowiedzialne za zdalne sterowanie, enumerację i kradzież plików oraz funkcjonalność proxy.