Samurai bakdörr används av ny hotskådespelare

En relativt ny hotaktör har genomfört flera attacker mot stora mål i både Europa och Asien. Hackergruppen har döpts till "ToddyCat" och ett av verktygen som används av outfiten är Samurai-bakdörren.

ToddyCat har funnits i ett par år och riktade sig till att börja med enheter i Taiwan och Vietnam, med start under den sista månaden av 2020. Sedan dess har den kriminella outfiten inkluderat organisationer i Europa på sin lista över mål.

Inledningsvis använde ToddyCat en tidigare okänd sårbarhet i Mircosoft Exchange för att attackera servrar i asiatiska länder. Attacker använde en dropper som tar hand om att distribuera de andra komponenterna som används i attacken. Det skapar också ett antal nya registernycklar och lägger till dem i offersystemets register. Detta görs för att tvinga fram laddningen av Samurai-bakdörren genom svchost.exe - en legitim komponent i ett Windows-system.

Själva Samurai-bakdörren är kodad i C# och fungerar genom att lyssna efter speciella förfrågningar som har krypterad C#-kod. Koden som tas emot på detta sätt kompileras och exekveras sedan av bakdörren vid körning.

Namnet Samurai kommer från användningen av ordböcker som innehåller ordet "samurai" i dem, som används för att lagra den aktuella katalogen som skadlig programvara är aktiv i.

Bakdörren kan kompilera fem separata moduler som tas emot som kod, inklusive moduler som ansvarar för fjärrkontroll, filuppräkning och stöld samt proxyfunktionalitet.