درپشتی سایتما
محققان امنیت سایبری تهدید جدیدی را کشف کردهاند که از طریق ضمیمههای ایمیل مسلح شده منتشر میشود. هدف از این تهدید که Saitama Backdoor نام دارد، ایجاد جای پایی بر روی سیستم مورد نظر و اجازه دادن به مهاجمان برای گسترش بیشتر دامنه دسترسی خود با محموله های مرحله بعدی است.
تهدید Saitama Backdoor در دات نت نوشته شده است و از پروتکل DNS به عنوان ابزاری برای برقراری ارتباط با سرورهای Command-and-Control (C2, C&C) خود استفاده می کند. پس از استقرار در سیستم، تهدید می تواند بیش از 20 فرمان دریافتی مهاجمان را شناسایی و اجرا کند. عوامل تهدید میتوانند از سایتما برای جمعآوری اطلاعات مختلف سیستم، مانند آدرس IP و نسخه سیستمعامل، و همچنین جزئیات مربوط به کاربر فعال فعلی، از جمله گروه و امتیازات آنها، استفاده کنند.
با این حال، عملکرد اصلی سایتما توانایی دستکاری سیستم فایل در دستگاه نقض شده است. تهدید بدافزار میتواند فایلهای انتخابی را انتخاب کرده و به سرورهای C2 منتقل کند. برعکس، همچنین میتواند فایلهای اضافی، از جمله بارهای بدافزار بیشتر را واکشی و در سیستم مستقر کند. بسته به هدف خاص مهاجمان، آنها می توانند جمع آوری کننده های اطلاعات تخصصی تر، باج افزارها، استخراج کنندگان رمزنگاری یا سایر انواع بدافزار را به دستگاه قربانی تحویل دهند.