Saitama bakdør

Cybersikkerhetsforskere har avdekket en ny bakdørstrussel som spres via våpenbaserte e-postvedlegg. Hensikten med trusselen, kalt Saitama Backdoor, er å etablere fotfeste på det målrettede systemet og la angriperne utvide rekkevidden ytterligere med nyttelast i neste trinn.

Saitama Backdoor-trusselen er skrevet i .NET og utnytter DNS-protokollen, som en måte å kommunisere med sine Command-and-Control-servere (C2, C&C). Når trusselen er distribuert til systemet, kan den gjenkjenne og utføre over 20 innkommende kommandoer fra angriperne. Trusselaktørene kan bruke Saitama til å samle inn diverse systeminformasjon, som IP-adresse og OS-versjon, samt detaljer om den aktive brukeren, inkludert deres gruppe og privilegier.

Imidlertid er hovedfunksjonaliteten til Saitama muligheten til å manipulere filsystemet på den ødelagte enheten. Skadevaretrusselen kan velge valgte filer og eksfiltrere dem til C2-serverne. Omvendt kan den også hente og distribuere tilleggsfiler til systemet, inkludert flere skadelige nyttelaster. Avhengig av angripernes spesifikke mål, kan de levere mer spesialiserte informasjonsinnsamlere, løsepengeprogramvare, krypto-gruvearbeidere eller andre typer skadevare til offerets enhet.