Samurai Backdoor

Samurai Backdoor脅威は、これまで知られていなかったAPT（Advanced Persistent Threat）グループの脅威的な武器の一部です。サイバー犯罪者は比較的早く活動を開始し、2020年12月に活動の最初の兆候が検出されました。グループ、そのターゲット、マルウェアツールの詳細は、研究者によるレポートで明らかになりました。サイバーセキュリティの研究者は、このサイバー犯罪組織をToddyCatAPTとして追跡していると述べています。

当初、ToddyCat APTは、台湾とベトナムにある選択されたExchangeサーバーの侵害に焦点を当てていました。ただし、その後すぐに、ProxyLogonの脆弱性を悪用して、ヨーロッパとアジアの両方の多数の組織を標的にし始めました。侵害されたシステムに配信される最終段階のペイロードの1つは、SamuraiBackdoorです。

侵害されたシステムを後の段階のペイロードに備えるために、脅威アクターは最初にドロッパー脅威を展開します。他の脅威となるコンポーネントをインストールし、正当な「svchost.exe」プロセスにSamuraiマルウェアをロードさせることができるいくつかのレジストリキーを作成する責任があります。脅威は、いくつかの分析防止技術を備えたモジュラーバックドアです。 infosecの研究者は、Samuraiが特定のアルゴリズムで難読化し、その機能のいくつかにランダムな名前が割り当てられ、命令間のジャンプを引き起こす複数のループとスイッチケースが含まれていることに注目しています。

脅威のさまざまなモジュールは、受信したコマンドに応じて、特定のタスクを処理するように設計されています。これまでのところ、特定された破損したモジュールは、cmdを介して任意のコマンドを実行し、ファイルシステムを操作し、破損したシステムから選択したファイルをアップロードすることができます。 Samuraiは、リモートIPアドレスとTCPポートへの接続を確立することもできます。対応するコマンドを受信した場合、マルウェアはHTTPリクエストを介して受信したペイロードをリモートIPアドレスに転送したり、そこからフェッチしたりすることもできます。