Porte dérobée de Saitama

Les chercheurs en cybersécurité ont découvert une nouvelle menace de porte dérobée qui se propage via des pièces jointes militarisées. Baptisée Saitama Backdoor, la menace a pour objectif de prendre pied sur le système ciblé et de permettre aux attaquants d'étendre encore leur portée avec des charges utiles de niveau supérieur.

La menace Saitama Backdoor est écrite en .NET et exploite le protocole DNS comme moyen de communication avec ses serveurs Command-and-Control (C2, C&C). Une fois déployée sur le système, la menace peut reconnaître et exécuter plus de 20 commandes entrantes provenant des attaquants. Les acteurs de la menace peuvent utiliser Saitama pour collecter diverses informations système, telles que l'adresse IP et la version du système d'exploitation, ainsi que des détails sur l'utilisateur actuellement actif, y compris son groupe et ses privilèges.

Cependant, la principale fonctionnalité de Saitama est la possibilité de manipuler le système de fichiers sur l'appareil piraté. La menace malveillante peut sélectionner des fichiers choisis et les exfiltrer vers les serveurs C2. Inversement, il peut également récupérer et déployer des fichiers supplémentaires sur le système, y compris davantage de charges utiles de logiciels malveillants. Selon l'objectif spécifique des attaquants, ils peuvent fournir des collecteurs d'informations plus spécialisés, des ransomwares, des crypto-mineurs ou d'autres types de logiciels malveillants sur l'appareil de la victime.