Сайтама Backdoor

Дослідники кібербезпеки виявили нову загрозу, яка поширюється за допомогою збройних вкладень електронної пошти. Метою загрози, яка називається Backdoor Saitama, є закріпити опору на цільовій системі та дозволити зловмисникам ще більше розширити охоплення за допомогою корисних навантажень наступного етапу.

Загроза Saitama Backdoor написана на .NET і використовує протокол DNS як засіб зв’язку зі своїми серверами командування та керування (C2, C&C). Після розгортання в системі загроза може розпізнати та виконати понад 20 вхідних команд зловмисників. Зловмисники можуть використовувати Saitama для збору різноманітної системної інформації, наприклад, IP-адреси та версії ОС, а також відомостей про поточного активного користувача, включаючи його групу та привілеї.

Однак основним функціоналом Saitama є можливість маніпулювати файловою системою на зламаному пристрої. Загроза зловмисного програмного забезпечення може вибирати вибрані файли та ексфільтрувати їх на сервери C2. І навпаки, він також може отримувати та розгортати додаткові файли в системі, включаючи більше корисного програмного забезпечення. Залежно від конкретної мети зловмисників вони можуть доставити на пристрій жертви більш спеціалізовані збирачі інформації, програми-вимагачі, криптомайнери або інші види шкідливих програм.