Saitama Backdoor

Badacze cyberbezpieczeństwa odkryli nowe zagrożenie typu backdoor, które rozprzestrzenia się za pośrednictwem uzbrojonych załączników do wiadomości e-mail. Nazywane Saitama Backdoor, celem zagrożenia jest ustanowienie przyczółka w docelowym systemie i umożliwienie atakującym dalsze rozszerzenie ich zasięgu za pomocą ładunków następnego etapu.

Zagrożenie Saitama Backdoor jest napisane w .NET i wykorzystuje protokół DNS do komunikacji z serwerami Command-and-Control (C2, C&C). Po wdrożeniu w systemie zagrożenie może rozpoznać i wykonać ponad 20 przychodzących poleceń od atakujących. Zagrożenia mogą wykorzystać Saitamę do zbierania różnych informacji systemowych, takich jak adres IP i wersja systemu operacyjnego, a także szczegółowe informacje o aktualnie aktywnym użytkowniku, w tym o jego grupie i uprawnieniach.

Jednak główną funkcjonalnością Saitamy jest możliwość manipulowania systemem plików na złamanym urządzeniu. Zagrożenie złośliwym oprogramowaniem może wybrać wybrane pliki i eksfiltrować je na serwery C2. I odwrotnie, może również pobierać i wdrażać do systemu dodatkowe pliki, w tym więcej ładunków złośliwego oprogramowania. W zależności od konkretnego celu atakujących, mogą oni dostarczać na urządzenie ofiary bardziej wyspecjalizowane kolektory informacji, oprogramowanie ransomware, krypto-kopacze lub inne rodzaje złośliwego oprogramowania.