Samurai-Hintertür

Die Samurai-Backdoor-Bedrohung ist Teil des bedrohlichen Arsenals einer bisher unbekannten APT-Gruppe (Advanced Persistent Threat). Die Cyberkriminellen begannen ihre Aktivitäten relativ bald, wobei die ersten Anzeichen ihrer Operationen im Dezember 2020 entdeckt wurden. Weitere Details über die Gruppe, ihre Ziele und Malware-Tools wurden in einem Bericht von Forschern enthüllt. Die Cybersicherheitsforscher geben an, dass sie diese cyberkriminelle Organisation als ToddyCat APT verfolgen.

Ursprünglich konzentrierte sich ToddyCat APT darauf, ausgewählte Exchange-Server in Taiwan und Vietnam zu kompromittieren. Bald darauf begannen sie jedoch, zahlreiche Organisationen in Europa und Asien anzugreifen, indem sie die Schwachstelle ProxyLogon missbrauchten. Eine der Nutzlasten der Endphase, die an die kompromittierten Systeme geliefert wird, ist die Samurai-Hintertür.

Um das verletzte System für die späteren Payloads vorzubereiten, setzen die Bedrohungsakteure zunächst eine Dropper-Bedrohung ein. Es ist verantwortlich für die Installation der anderen bedrohlichen Komponenten und die Erstellung mehrerer Registrierungsschlüssel, die in der Lage sind, den legitimen „svchost.exe“-Prozess zu zwingen, die Samurai-Malware zu laden. Die Bedrohung ist eine modulare Hintertür, die mit mehreren Anti-Analyse-Techniken ausgestattet ist. Die Infosec-Forscher stellen fest, dass Samurai mit einem bestimmten Algorithmus verschleiert wurde, mehreren seiner Funktionen zufällige Namen zugewiesen wurden und mehrere Schleifen und Wechselfälle enthalten, die Sprünge zwischen Anweisungen verursachen.

Die verschiedenen Module der Bedrohung sind so konzipiert, dass sie je nach empfangenen Befehlen bestimmte Aufgaben ausführen. Bisher sind die identifizierten beschädigten Module in der Lage, beliebige Befehle über cmd auszuführen, das Dateisystem zu manipulieren und ausgewählte Dateien von angegriffenen Systemen hochzuladen. Samurai kann auch eine Verbindung zu einer Remote-IP-Adresse und einem TCP-Port herstellen. Wird der entsprechende Befehl empfangen, kann die Schadsoftware auch eine per HTTP-Anfrage empfangene Nutzlast an die entfernte IP-Adresse weiterleiten oder von dort abholen.