Saitama Backdoor

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou zadní vrátkovou hrozbu, která se šíří prostřednictvím e-mailových příloh se zbraněmi. Tato hrozba se jmenuje Saitama Backdoor a má za cíl vytvořit oporu v cílovém systému a umožnit útočníkům dále rozšířit svůj dosah pomocí užitečného zatížení v další fázi.

Hrozba Saitama Backdoor je napsána v .NET a využívá protokol DNS jako prostředek pro komunikaci s jejími servery Command-and-Control (C2, C&C). Po nasazení do systému může hrozba rozpoznat a provést více než 20 příchozích příkazů od útočníků. Aktéři hrozeb mohou využít Saitama ke shromažďování různých systémových informací, jako je IP adresa a verze operačního systému, stejně jako podrobnosti o aktuálně aktivním uživateli, včetně jeho skupiny a oprávnění.

Hlavní funkcí Saitamy je však schopnost manipulovat se systémem souborů na prolomeném zařízení. Malwarová hrozba může vybrat vybrané soubory a exfiltrovat je na servery C2. Naopak může také načítat a nasazovat další soubory do systému, včetně většího množství malwaru. V závislosti na konkrétním cíli útočníků mohou do zařízení oběti doručit specializovanější sběrače informací, ransomware, krypto-těžaře nebo jiné typy malwaru.