Porte dérobée samouraï

La menace Samurai Backdoor fait partie de l'arsenal menaçant d'un groupe APT (Advanced Persistent Threat) jusqu'alors inconnu. Les cybercriminels ont commencé leurs activités relativement tôt, les premiers signes de leurs opérations ayant été détectés en décembre 2020. Plus de détails sur le groupe, ses cibles et ses outils malveillants ont été révélés dans un rapport de chercheurs. Les chercheurs en cybersécurité déclarent suivre cette organisation cybercriminelle sous le nom de ToddyCat APT.

Initialement, l'APT ToddyCat visait à compromettre certains serveurs Exchange situés à Taïwan et au Vietnam. Cependant, peu de temps après, ils ont commencé à cibler de nombreuses organisations en Europe et en Asie en abusant de la vulnérabilité ProxyLogon. L'une des charges utiles de phase finale livrée aux systèmes compromis est la porte dérobée Samurai.

Pour préparer le système piraté aux charges utiles de stade ultérieur, les acteurs de la menace déploient d'abord une menace de largage. Il est responsable de l'installation des autres composants menaçants et de la création de plusieurs clés de registre capables de forcer le processus légitime « svchost.exe » à charger le logiciel malveillant Samurai. La menace est une porte dérobée modulaire équipée de plusieurs techniques anti-analyse. Les chercheurs de l'infosec notent que Samurai s'est obscurci avec un algorithme spécifique, plusieurs de ses fonctions se voient attribuer des noms aléatoires, et il comprend plusieurs boucles et cas de commutation qui provoquent des sauts entre les instructions.

Les différents modules de la menace sont conçus pour gérer des tâches spécifiques, en fonction des commandes reçues. Jusqu'à présent, les modules corrompus identifiés sont capables d'exécuter des commandes arbitraires via cmd, de manipuler le système de fichiers et de télécharger des fichiers sélectionnés à partir de systèmes piratés. Samurai peut également établir une connexion à une adresse IP et un port TCP distants. Si la commande correspondante est reçue, le logiciel malveillant peut également transférer une charge utile reçue via une requête HTTP vers l'adresse IP distante ou en récupérer une à partir de là.