新威脅演員使用的 Samurai 後門
一個相對較新的威脅參與者已經對歐洲和亞洲的大型目標發起了多次攻擊。該黑客組織被稱為“ToddyCat”,該組織使用的工具之一是 Samurai 後門。
ToddyCat 已經存在了幾年,最初從 2020 年最後一個月開始針對位於台灣和越南的實體。從那時起,犯罪組織將位於歐洲的組織列入其目標名單。
最初,ToddyCat 利用 Mircosoft Exchange 中一個以前未知的漏洞來攻擊位於亞洲國家的服務器。攻擊使用了一個 dropper,負責部署攻擊中使用的其他組件。它還創建了許多新的註冊表項並將它們添加到受害系統的註冊表中。這樣做是為了通過 svchost.exe(Windows 系統的合法組件)強制加載 Samurai 後門。
Samurai 後門本身是用 C# 編碼的,並通過偵聽其中包含加密 C# 代碼的特殊請求來運行。以這種方式接收到的代碼被編譯,然後在運行時由後門執行。
Samurai 的名稱來自使用包含“武士”一詞的字典,用於存儲惡意軟件處於活動狀態的當前目錄。
後門可以編譯作為代碼接收的五個獨立模塊,包括負責遠程控制、文件枚舉和盜竊以及代理功能的模塊。