Saitama Backdoor

I ricercatori della sicurezza informatica hanno scoperto una nuova minaccia backdoor che viene diffusa tramite allegati e-mail armati. Denominata Saitama Backdoor, lo scopo della minaccia è stabilire un punto d'appoggio sul sistema preso di mira e consentire agli aggressori di espandere ulteriormente la loro portata con i carichi utili della fase successiva.

La minaccia Saitama Backdoor è scritta in .NET e sfrutta il protocollo DNS, come mezzo per comunicare con i suoi server Command-and-Control (C2, C&C). Una volta implementata nel sistema, la minaccia può riconoscere ed eseguire oltre 20 comandi in arrivo dagli aggressori. Gli attori delle minacce possono utilizzare Saitama per raccogliere varie informazioni di sistema, come l'indirizzo IP e la versione del sistema operativo, nonché i dettagli sull'utente attualmente attivo, inclusi il gruppo e i privilegi.

Tuttavia, la funzionalità principale di Saitama è la capacità di manipolare il file system sul dispositivo violato. La minaccia malware può selezionare i file scelti ed esfiltrarli ai server C2. Al contrario, può anche recuperare e distribuire file aggiuntivi al sistema, inclusi più payload di malware. A seconda dell'obiettivo specifico degli aggressori, possono fornire raccoglitori di informazioni più specializzati, ransomware, crypto-miner o altri tipi di malware sul dispositivo della vittima.