埼玉後門
網絡安全研究人員發現了一種新的後門威脅,該威脅正在通過武器化的電子郵件附件傳播。該威脅名為 Saitama Backdoor,其目的是在目標系統上建立立足點,並允許攻擊者通過下一階段的有效載荷進一步擴大其影響範圍。
Saitama Backdoor 威脅是用 .NET 編寫的,並利用 DNS 協議作為與其命令和控制(C2、C&C)服務器進行通信的手段。一旦部署到系統中,威脅可以識別並執行來自攻擊者的 20 多個傳入命令。威脅參與者可以利用 Saitama 收集各種系統信息,例如 IP 地址和操作系統版本,以及有關當前活動用戶的詳細信息,包括他們的組和權限。
但是,Saitama 的主要功能是能夠操縱被破壞設備上的文件系統。惡意軟件威脅可以選擇選定的文件並將它們洩露到 C2 服務器。相反,它還可以獲取其他文件並將其部署到系統中,包括更多的惡意軟件負載。根據攻擊者的具體目標,他們可以向受害者的設備提供更專業的信息收集器、勒索軟件、加密礦工或其他惡意軟件類型。
