Saitama Backdoor

A kiberbiztonsági kutatók egy új hátsó ajtó fenyegetést tártak fel, amely fegyveres e-mail-mellékleteken keresztül terjed. A Saitama Backdoor névre keresztelt fenyegetés célja, hogy megvesse a lábát a megcélzott rendszeren, és lehetővé tegye a támadók számára, hogy tovább bővítsék hatókörüket a következő szintű rakományokkal.

A Saitama Backdoor fenyegetés .NET-ben van írva, és a DNS protokollt használja ki a Command-and-Control (C2, C&C) szervereivel való kommunikációra. A rendszerre telepített fenyegetés több mint 20 bejövő parancsot képes felismerni és végrehajtani a támadóktól. A fenyegetés szereplői a Saitama segítségével különféle rendszerinformációkat gyűjthetnek, mint például az IP-cím és az operációs rendszer verziója, valamint az aktuálisan aktív felhasználó adatait, beleértve a csoportjukat és jogosultságait.

A Saitama fő funkciója azonban a feltört eszköz fájlrendszerének manipulálása. A rosszindulatú fenyegetés kiválaszthatja a kiválasztott fájlokat, és kiszűrheti azokat a C2 kiszolgálókra. Ellenkezőleg, további fájlokat is lekérhet és telepíthet a rendszerbe, beleértve a rosszindulatú programokat is. A támadók konkrét céljától függően speciálisabb információgyűjtőket, zsarolóprogramokat, kriptobányászokat vagy más típusú rosszindulatú programokat juttathatnak el az áldozat eszközére.