Saitama Backdoor

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong banta sa backdoor na kumakalat sa pamamagitan ng mga naka-armas na email attachment. Pinangalanan ang Saitama Backdoor, ang layunin ng pagbabanta ay magtatag ng isang foothold sa target na sistema at payagan ang mga umaatake na higit pang palawakin ang kanilang abot sa mga susunod na yugto ng mga payload.

Ang banta ng Saitama Backdoor ay nakasulat sa .NET at sinasamantala ang DNS protocol, bilang paraan ng pakikipag-ugnayan sa mga server ng Command-and-Control (C2, C&C) nito. Kapag na-deploy na sa system, maaaring makilala at maisagawa ng banta ang higit sa 20 papasok na command mula sa mga umaatake. Maaaring gamitin ng mga banta ng aktor ang Saitama upang mangolekta ng iba't ibang impormasyon ng system, tulad ng IP address at bersyon ng OS, pati na rin ang mga detalye tungkol sa kasalukuyang aktibong user, kasama ang kanilang grupo at mga pribilehiyo.

Gayunpaman, ang pangunahing pag-andar ng Saitama ay ang kakayahang manipulahin ang file system sa nalabag na device. Ang banta ng malware ay maaaring pumili ng mga napiling file at i-exfiltrate ang mga ito sa mga C2 server. Sa kabaligtaran, maaari rin itong kumuha at mag-deploy ng mga karagdagang file sa system, kabilang ang mas maraming malware payload. Depende sa partikular na layunin ng mga umaatake, makakapaghatid sila ng mas dalubhasang mga kolektor ng impormasyon, ransomware, crypto-miners o iba pang uri ng malware sa device ng biktima.