Saitama Arka Kapı

Siber güvenlik araştırmacıları, silahlı e-posta ekleri yoluyla yayılan yeni bir arka kapı tehdidini ortaya çıkardı. Saitama Backdoor olarak adlandırılan tehdidin amacı, hedeflenen sistemde bir dayanak oluşturmak ve saldırganların bir sonraki aşama yükleriyle erişimlerini daha da genişletmelerine izin vermektir.

Saitama Backdoor tehdidi .NET'te yazılmıştır ve Komuta ve Kontrol (C2, C&C) sunucularıyla iletişim kurma aracı olarak DNS protokolünü kullanır. Sisteme yerleştirildikten sonra tehdit, saldırganlardan gelen 20'den fazla komutu tanıyabilir ve yürütebilir. Tehdit aktörleri, IP adresi ve işletim sistemi sürümü gibi çeşitli sistem bilgilerinin yanı sıra grup ve ayrıcalıkları da dahil olmak üzere şu anda aktif olan kullanıcıyla ilgili ayrıntıları toplamak için Saitama'yı kullanabilir.

Bununla birlikte, Saitama'nın ana işlevi, ihlal edilen cihazdaki dosya sistemini manipüle etme yeteneğidir. Kötü amaçlı yazılım tehdidi, seçilen dosyaları seçebilir ve bunları C2 sunucularına aktarabilir. Tersine, daha fazla kötü amaçlı yazılım yükü de dahil olmak üzere sisteme ek dosyalar getirebilir ve dağıtabilir. Saldırganların özel amacına bağlı olarak, kurbanın cihazına daha özel bilgi toplayıcılar, fidye yazılımları, kripto madencileri veya diğer kötü amaçlı yazılım türleri gönderebilirler.