Самурайский бэкдор, используемый новым злоумышленником
Относительно новый субъект угроз осуществил несколько атак на крупные цели как в Европе, так и в Азии. Хакерская группа получила название «ToddyCat», и одним из инструментов, используемых ею, является бэкдор Samurai.
ToddyCat существует уже пару лет, первоначально нацеленных на организации, расположенные на Тайване и во Вьетнаме, начиная с последнего месяца 2020 года. С тех пор преступная группировка включила организации, расположенные в Европе, в свой список целей.
Изначально ToddyCat использовала ранее неизвестную уязвимость в Mircosoft Exchange для атаки на серверы, расположенные в азиатских странах. Атаки использовали дроппер, который заботится о развертывании других компонентов, используемых в атаке. Он также создает ряд новых ключей реестра и добавляет их в реестр системы-жертвы. Это делается для принудительной загрузки бэкдора Samurai через svchost.exe — законный компонент системы Windows.
Сам бэкдор Samurai написан на C# и работает, прослушивая специальные запросы, содержащие зашифрованный код C#. Полученный таким образом код компилируется, а затем выполняется бэкдором во время выполнения.
Название Samurai происходит от использования словарей, содержащих в себе слово «самурай», используемых для хранения текущего каталога, в котором активно вредоносное ПО.
Бэкдор может компилировать пять отдельных модулей, полученных в виде кода, включая модули, отвечающие за удаленное управление, перечисление файлов и кражу, а также функциональность прокси.