Saitama-Hintertür

Cybersicherheitsforscher haben eine neue Backdoor-Bedrohung entdeckt, die über bewaffnete E-Mail-Anhänge verbreitet wird. Der Zweck der Bedrohung mit dem Namen Saitama Backdoor besteht darin, auf dem Zielsystem Fuß zu fassen und es den Angreifern zu ermöglichen, ihre Reichweite mit Payloads der nächsten Stufe weiter auszudehnen.

Die Saitama Backdoor-Bedrohung ist in .NET geschrieben und nutzt das DNS-Protokoll aus, um mit ihren Command-and-Control-Servern (C2, C&C) zu kommunizieren. Einmal im System bereitgestellt, kann die Bedrohung über 20 eingehende Befehle der Angreifer erkennen und ausführen. Die Bedrohungsakteure können Saitama verwenden, um verschiedene Systeminformationen wie IP-Adresse und Betriebssystemversion sowie Details über den derzeit aktiven Benutzer, einschließlich seiner Gruppe und Berechtigungen, zu sammeln.

Die Hauptfunktionalität von Saitama ist jedoch die Fähigkeit, das Dateisystem auf dem angegriffenen Gerät zu manipulieren. Die Malware-Bedrohung kann ausgewählte Dateien auswählen und auf die C2-Server exfiltrieren. Umgekehrt kann es auch zusätzliche Dateien abrufen und auf dem System bereitstellen, einschließlich weiterer Malware-Payloads. Abhängig vom spezifischen Ziel der Angreifer können sie spezialisiertere Informationssammler, Ransomware, Crypto-Miner oder andere Malware-Typen auf das Gerät des Opfers übertragen.