Saitama Achterdeur

Cybersecurity-onderzoekers hebben een nieuwe achterdeurbedreiging ontdekt die wordt verspreid via bewapende e-mailbijlagen. Met de naam Saitama Backdoor, is het doel van de dreiging om voet aan de grond te krijgen op het aangevallen systeem en de aanvallers in staat te stellen hun bereik verder uit te breiden met next-stage payloads.

De Saitama Backdoor-dreiging is geschreven in .NET en maakt gebruik van het DNS-protocol om te communiceren met zijn Command-and-Control (C2, C&C)-servers. Eenmaal geïmplementeerd op het systeem, kan de dreiging meer dan 20 inkomende commando's van de aanvallers herkennen en uitvoeren. De dreigingsactoren kunnen Saitama gebruiken om verschillende systeeminformatie te verzamelen, zoals IP-adres en OS-versie, evenals details over de momenteel actieve gebruiker, inclusief hun groep en privileges.

De belangrijkste functionaliteit van Saitama is echter de mogelijkheid om het bestandssysteem op het gehackte apparaat te manipuleren. De malwarebedreiging kan gekozen bestanden selecteren en deze naar de C2-servers exfiltreren. Omgekeerd kan het ook extra bestanden op het systeem ophalen en implementeren, waaronder meer malware-payloads. Afhankelijk van het specifieke doel van de aanvallers, kunnen ze meer gespecialiseerde informatieverzamelaars, ransomware, cryptominers of andere soorten malware op het apparaat van het slachtoffer leveren.