Cửa hậu Saitama

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một mối đe dọa backdoor mới đang lây lan qua các tệp đính kèm email được vũ khí hóa. Được đặt tên là Cửa hậu Saitama, mục đích của mối đe dọa là thiết lập chỗ đứng trên hệ thống được nhắm mục tiêu và cho phép những kẻ tấn công mở rộng phạm vi của chúng hơn nữa với các tải trọng ở giai đoạn tiếp theo.

Mối đe dọa Backdoor Saitama được viết bằng .NET và khai thác giao thức DNS, làm phương tiện giao tiếp với các máy chủ Command-and-Control (C2, C&C) của nó. Sau khi được triển khai vào hệ thống, mối đe dọa có thể nhận ra và thực hiện hơn 20 lệnh đến từ những kẻ tấn công. Các tác nhân đe dọa có thể sử dụng Saitama để thu thập thông tin hệ thống khác nhau, chẳng hạn như địa chỉ IP và phiên bản hệ điều hành, cũng như thông tin chi tiết về người dùng hiện đang hoạt động, bao gồm cả nhóm và đặc quyền của họ.

Tuy nhiên, chức năng chính của Saitama là khả năng điều khiển hệ thống tệp trên thiết bị bị vi phạm. Mối đe dọa phần mềm độc hại có thể chọn các tệp đã chọn và chuyển chúng đến các máy chủ C2. Ngược lại, nó cũng có thể tìm nạp và triển khai các tệp bổ sung vào hệ thống, bao gồm nhiều phần mềm độc hại hơn. Tùy thuộc vào mục tiêu cụ thể của những kẻ tấn công, chúng có thể cung cấp các trình thu thập thông tin chuyên biệt hơn, ransomware, crypto-miner hoặc các loại phần mềm độc hại khác đến thiết bị của nạn nhân.