Saitama bagdør

Cybersikkerhedsforskere har afsløret en ny bagdørstrussel, der spredes via våbenbaserede vedhæftede filer. Navnet Saitama Backdoor er formålet med truslen at etablere fodfæste på det målrettede system og give angriberne mulighed for yderligere at udvide deres rækkevidde med næste trins nyttelast.

Saitama Backdoor-truslen er skrevet i .NET og udnytter DNS-protokollen som et middel til at kommunikere med dens Command-and-Control (C2, C&C) servere. Når truslen er installeret på systemet, kan den genkende og udføre over 20 indkommende kommandoer fra angriberne. Trusselsaktørerne kan bruge Saitama til at indsamle forskellige systemoplysninger, såsom IP-adresse og OS-version, samt detaljer om den aktuelt aktive bruger, herunder deres gruppe og privilegier.

Men Saitamas hovedfunktionalitet er evnen til at manipulere filsystemet på den brudte enhed. Malwaretruslen kan vælge udvalgte filer og eksfiltrere dem til C2-serverne. Omvendt kan den også hente og implementere yderligere filer til systemet, inklusive flere malware-nyttelaster. Afhængigt af angribernes specifikke mål kan de levere mere specialiserede informationsindsamlere, ransomware, kryptominere eller andre malwaretyper til ofrets enhed.