درپشتی سایتما

محققان امنیت سایبری تهدید جدیدی را کشف کرده‌اند که از طریق ضمیمه‌های ایمیل مسلح شده منتشر می‌شود. هدف از این تهدید که Saitama Backdoor نام دارد، ایجاد جای پایی بر روی سیستم مورد نظر و اجازه دادن به مهاجمان برای گسترش بیشتر دامنه دسترسی خود با محموله های مرحله بعدی است.

تهدید Saitama Backdoor در دات نت نوشته شده است و از پروتکل DNS به عنوان ابزاری برای برقراری ارتباط با سرورهای Command-and-Control (C2, C&C) خود استفاده می کند. پس از استقرار در سیستم، تهدید می تواند بیش از 20 فرمان دریافتی مهاجمان را شناسایی و اجرا کند. عوامل تهدید می‌توانند از سایتما برای جمع‌آوری اطلاعات مختلف سیستم، مانند آدرس IP و نسخه سیستم‌عامل، و همچنین جزئیات مربوط به کاربر فعال فعلی، از جمله گروه و امتیازات آنها، استفاده کنند.

با این حال، عملکرد اصلی سایتما توانایی دستکاری سیستم فایل در دستگاه نقض شده است. تهدید بدافزار می‌تواند فایل‌های انتخابی را انتخاب کرده و به سرورهای C2 منتقل کند. برعکس، همچنین می‌تواند فایل‌های اضافی، از جمله بارهای بدافزار بیشتر را واکشی و در سیستم مستقر کند. بسته به هدف خاص مهاجمان، آنها می توانند جمع آوری کننده های اطلاعات تخصصی تر، باج افزارها، استخراج کنندگان رمزنگاری یا سایر انواع بدافزار را به دستگاه قربانی تحویل دهند.