Saitama bakdörr

Cybersäkerhetsforskare har avslöjat ett nytt bakdörrshot som sprids via beväpnade e-postbilagor. Med namnet Saitama Backdoor är syftet med hotet att etablera fotfäste på det riktade systemet och tillåta angriparna att ytterligare utöka sin räckvidd med nyttolaster i nästa steg.

Saitama Backdoor-hotet är skrivet i .NET och utnyttjar DNS-protokollet, som ett sätt att kommunicera med sina Command-and-Control-servrar (C2, C&C). När hotet väl har distribuerats till systemet kan det känna igen och utföra över 20 inkommande kommandon från angriparna. Hotaktörerna kan använda Saitama för att samla in olika systeminformation, såsom IP-adress och OS-version, samt detaljer om den för närvarande aktiva användaren, inklusive deras grupp och privilegier.

Men huvudfunktionen hos Saitama är förmågan att manipulera filsystemet på den intrångade enheten. Skadlig programvara kan välja ut valda filer och exfiltrera dem till C2-servrarna. Omvänt kan den också hämta och distribuera ytterligare filer till systemet, inklusive fler skadlig programvara. Beroende på angriparnas specifika mål kan de leverera mer specialiserade informationsinsamlare, ransomware, kryptominers eller andra typer av skadlig programvara till offrets enhet.