Saitama Backdoor

Cercetătorii în domeniul securității cibernetice au descoperit o nouă amenințare backdoor care este răspândită prin atașamente de e-mail armate. Denumită Saitama Backdoor, scopul amenințării este de a stabili un punct de sprijin pe sistemul țintă și de a permite atacatorilor să-și extindă în continuare raza de acțiune cu încărcături utile din etapa următoare.

Amenințarea Saitama Backdoor este scrisă în .NET și exploatează protocolul DNS, ca mijloc de comunicare cu serverele sale Command-and-Control (C2, C&C). Odată implementată în sistem, amenințarea poate recunoaște și executa peste 20 de comenzi primite de la atacatori. Actorii amenințărilor pot utiliza Saitama pentru a colecta diverse informații de sistem, cum ar fi adresa IP și versiunea sistemului de operare, precum și detalii despre utilizatorul activ în prezent, inclusiv grupul și privilegiile acestuia.

Cu toate acestea, principala funcționalitate a Saitama este capacitatea de a manipula sistemul de fișiere de pe dispozitivul afectat. Amenințarea malware poate selecta fișierele alese și le poate exfiltra pe serverele C2. În mod invers, poate prelua și implementa fișiere suplimentare în sistem, inclusiv mai multe încărcări utile de malware. În funcție de obiectivul specific al atacatorilor, aceștia pot furniza colectoare de informații mai specializate, ransomware, cripto-mineri sau alte tipuri de malware pe dispozitivul victimei.