新威胁演员使用的 Samurai 后门
一个相对较新的威胁参与者已经对欧洲和亚洲的大型目标发起了多次攻击。该黑客组织被称为“ToddyCat”,该组织使用的工具之一是 Samurai 后门。
ToddyCat 已经存在了几年,最初从 2020 年最后一个月开始针对位于台湾和越南的实体。从那时起,犯罪组织将位于欧洲的组织列入其目标名单。
最初,ToddyCat 利用 Mircosoft Exchange 中一个以前未知的漏洞来攻击位于亚洲国家的服务器。攻击使用了一个 dropper,负责部署攻击中使用的其他组件。它还创建了许多新的注册表项并将它们添加到受害系统的注册表中。这样做是为了通过 svchost.exe(Windows 系统的合法组件)强制加载 Samurai 后门。
Samurai 后门本身是用 C# 编码的,并通过侦听其中包含加密 C# 代码的特殊请求来运行。以这种方式接收到的代码被编译,然后在运行时由后门执行。
Samurai 的名称来自使用包含“武士”一词的字典,用于存储恶意软件处于活动状态的当前目录。
后门可以编译作为代码接收的五个独立模块,包括负责远程控制、文件枚举和盗窃以及代理功能的模块。