埼玉后门
网络安全研究人员发现了一种新的后门威胁,该威胁正在通过武器化的电子邮件附件传播。该威胁名为 Saitama Backdoor,其目的是在目标系统上建立立足点,并允许攻击者通过下一阶段的有效载荷进一步扩大其影响范围。
Saitama Backdoor 威胁是用 .NET 编写的,并利用 DNS 协议作为与其命令和控制(C2、C&C)服务器进行通信的手段。一旦部署到系统,威胁可以识别并执行来自攻击者的 20 多个传入命令。威胁参与者可以利用 Saitama 收集各种系统信息,例如 IP 地址和操作系统版本,以及有关当前活动用户的详细信息,包括他们的组和权限。
但是,Saitama 的主要功能是能够操纵被破坏设备上的文件系统。恶意软件威胁可以选择选定的文件并将它们泄露到 C2 服务器。相反,它还可以获取其他文件并将其部署到系统中,包括更多的恶意软件负载。根据攻击者的具体目标,他们可以向受害者的设备提供更专业的信息收集器、勒索软件、加密矿工或其他恶意软件类型。
