Puerta trasera Samurái

La amenaza Samurai Backdoor es parte del amenazante arsenal de un grupo APT (Advanced Persistent Threat) previamente desconocido. Los ciberdelincuentes comenzaron sus actividades relativamente pronto y los primeros signos de sus operaciones se detectaron en diciembre de 2020. Un informe de los investigadores reveló más detalles sobre el grupo, sus objetivos y las herramientas de malware. Los investigadores de ciberseguridad afirman que están rastreando a esta organización ciberdelincuente como ToddyCat APT.

Inicialmente, ToddyCat APT se centró en comprometer servidores Exchange seleccionados ubicados en Taiwán y Vietnam. Sin embargo, poco después, comenzaron a apuntar a numerosas organizaciones tanto en Europa como en Asia abusando de la vulnerabilidad ProxyLogon. Una de las cargas útiles de etapa final entregadas a los sistemas comprometidos es Samurai Backdoor.

Para preparar el sistema violado para las cargas útiles de la etapa posterior, los actores de amenazas primero implementan una amenaza de cuentagotas. Es responsable de instalar los otros componentes amenazantes y crear varias claves de registro capaces de forzar el proceso legítimo 'svchost.exe' para cargar el malware Samurai. La amenaza es una puerta trasera modular que está equipada con varias técnicas antianálisis. Los investigadores de seguridad de la información señalan que Samurai se ha ofuscado con un algoritmo específico, a varias de sus funciones se les asignan nombres aleatorios e incluye múltiples bucles y casos de cambio que provocan saltos entre instrucciones.

Los diferentes módulos de la amenaza están diseñados para manejar tareas específicas, dependiendo de los comandos recibidos. Hasta ahora, los módulos corruptos identificados son capaces de ejecutar comandos arbitrarios a través de cmd, manipular el sistema de archivos y cargar archivos seleccionados de sistemas violados. Samurai también puede establecer una conexión con una dirección IP remota y un puerto TCP. Si se recibe el comando correspondiente, el malware también puede reenviar una carga útil recibida a través de una solicitud HTTP a la dirección IP remota, o recuperar una desde allí.