Saitama Backdoor

Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú hrozbu zadných vrátok, ktorá sa šíri prostredníctvom e-mailových príloh so zbraňami. Táto hrozba dostala názov Saitama Backdoor a jej účelom je vytvoriť oporu v cieľovom systéme a umožniť útočníkom rozšíriť svoj dosah pomocou nákladu v ďalšej fáze.

Hrozba Saitama Backdoor je napísaná v .NET a využíva protokol DNS ako prostriedok na komunikáciu s jej servermi Command-and-Control (C2, C&C). Po nasadení do systému dokáže hrozba rozpoznať a vykonať viac ako 20 prichádzajúcich príkazov od útočníkov. Aktéri hrozieb môžu využiť Saitama na zhromažďovanie rôznych systémových informácií, ako je IP adresa a verzia operačného systému, ako aj podrobnosti o aktuálne aktívnom používateľovi, vrátane jeho skupiny a privilégií.

Hlavnou funkcionalitou Saitamy je však schopnosť manipulovať so súborovým systémom na narušenom zariadení. Hrozba škodlivého softvéru môže vybrať vybrané súbory a exfiltrovať ich na servery C2. Naopak, môže tiež načítať a nasadiť ďalšie súbory do systému, vrátane väčšieho množstva škodlivého softvéru. V závislosti od konkrétneho cieľa útočníkov môžu do zariadenia obete doručiť špecializovanejšie zberače informácií, ransomvér, kryptomeny alebo iné typy malvéru.