SeroXen RAT
لقد تبنى مجتمع المجرمين الإلكترونيين حصان طروادة خفي للوصول عن بعد (RAT) يسمى "SeroXen" بشكل متزايد بسبب قدراته القوية وقدرته على التهرب من الاكتشاف.
وفقًا لتقارير AT&T ، يتم تسويق البرامج الضارة بشكل خادع كأداة وصول شرعية عن بُعد لنظامي التشغيل Windows 11 و 10. يتم تقديمها مقابل رسوم اشتراك شهرية قدرها 15 دولارًا أو دفع ترخيص "مدى الحياة" لمرة واحدة بقيمة 60 دولارًا. على الرغم من تقديمه كأداة شرعية ، فإن SeroXen يتم الترويج له بالفعل باعتباره حصان طروادة للوصول عن بعد في منتديات القرصنة. تظل هويات الأفراد الذين يقفون وراء هذه العروض الترويجية غير مؤكدة ، سواء كانوا مطورين حقيقيين أو بائعين عديمي الضمير.
جدول المحتويات
تكتسب SeroXen RAT قوة دفع بين مجرمي الإنترنت
جعلت نقطة السعر المعقول لبرنامج الوصول عن بُعد SeroXen من الوصول إلى مجموعة واسعة من الجهات الفاعلة في مجال التهديد. حددت AT&T عينات عديدة من SeroXen منذ ظهورها في سبتمبر 2022 ، وتكثف النشاط المحيط بها مؤخرًا.
في حين أن الأهداف الأساسية لـ SeroXen كانت أفرادًا داخل مجتمع الألعاب ، إلا أن هناك قلقًا متزايدًا من أنه مع توسع شعبية الأداة ، قد يتم استخدامها أيضًا لاستهداف كيانات أكبر ، مثل الشركات والمؤسسات البارزة.
يمكن أن تُعزى الشعبية المتزايدة لـ SeroXen بين مجرمي الإنترنت إلى معدلات اكتشافه المنخفضة وقدراته القوية. جعلها مظهرها الخادع كأداة شرعية للوصول عن بعد خيارًا جذابًا للجهات الفاعلة في التهديد. للتخفيف من المخاطر المرتبطة بهذا حصان طروادة للوصول عن بُعد ، من الضروري للأفراد والمؤسسات أن يظلوا يقظين وأن ينفذوا تدابير أمنية قوية.
تم تطوير SeroXen RAT من عدة مشاريع مفتوحة المصدر
يعتمد SeroXen على العديد من المشاريع مفتوحة المصدر ، بما في ذلك Quasar RAT و r77 rootkit وأداة سطر الأوامر NirCmd. استخدم مطور SeroXen بذكاء مجموعة من هذه الموارد المتاحة مجانًا لإنشاء RAT التي يصعب اكتشافها من خلال التحليل الثابت والديناميكي.
يعمل Quasar RAT ، الذي كان موجودًا منذ ما يقرب من عقد من الزمان منذ إطلاقه الأولي في عام 2014 ، كأساس لـ SeroXen RAT. يوفر أداة إدارة عن بُعد خفيفة الوزن بأحدث إصدار ، 1.41 ، تتضمن ميزات مثل الوكيل العكسي ، والقشرة البعيدة ، وسطح المكتب البعيد ، واتصال TLS ، ونظام إدارة الملفات. يمكن الوصول إليه بشكل مفتوح على GitHub.
لتوسيع قدراته ، يستخدم SeroXen RAT rootkit r77 (Ring 3). توفر أدوات rootkit مفتوحة المصدر هذه وظائف مثل الثبات بدون ملفات ، وربط العمليات التابعة ، وتضمين البرامج الضارة ، وحقن العمليات في الذاكرة ، والتهرب من اكتشاف برامج مكافحة البرامج الضارة. يدمج SeroXen أيضًا الأداة المساعدة NirCmd. NirCmd هي أداة مجانية تسهل مهام الإدارة البسيطة لأنظمة Windows والأجهزة الطرفية من خلال تنفيذ سطر الأوامر.
تحليل هجمات SeroXen RAT
تم استخدام موجهات هجوم مختلفة لتوزيع SeroXen ، بما في ذلك رسائل البريد الإلكتروني المخادعة وقنوات Discord التي يستخدمها مجرمو الإنترنت. توزع هذه الجهات الفاعلة أرشيفات مضغوطة تحتوي على ملفات دفعية شديدة الغموض.
عند الاستخراج ، يقوم الملف الدفعي بفك تشفير نص base64 لاستخراج ثنائيين. ثم يتم تحميل هذه الثنائيات في الذاكرة باستخدام انعكاس .NET. يعد الإصدار المعدل من msconfig.exe ، الضروري لتنفيذ البرامج الضارة ، هو الملف الوحيد الذي يتفاعل مع القرص. يتم تخزينه مؤقتًا في دليل 'C: \ Windows \ System32V (لاحظ المساحة الإضافية) ، وهو قصير العمر ويتم حذفه بعد عملية تثبيت البرنامج.
يعمل الملف الدفعي كوسيلة لنشر حمولة "InstallStager.exe" ، وهو متغير من R77 rootkit. للحفاظ على التخفي والمثابرة ، يتم إخفاء الجذور الخفية وتخزينها في سجل Windows. بعد ذلك ، يتم تنشيطه باستخدام PowerShell من خلال برنامج جدولة المهام ، ويحقن نفسه في عملية "winlogon.exe".
من خلال هذا الحقن ، يقدم rootkit r77 SeroXen RAT في ذاكرة النظام ، مما يضمن وجوده السري ويتيح الوصول عن بُعد إلى الجهاز المخترق. بمجرد بدء تشغيل البرنامج الضار للوصول عن بُعد ، فإنه ينشئ اتصالاً بخادم الأوامر والتحكم ، في انتظار أوامر من المهاجمين.
يكشف التحليل أن SeroXen تستخدم نفس شهادة TLS مثل Quasar RAT ، وترث معظم القدرات من المشروع الأصلي. تشمل هذه الإمكانات دعم تدفقات شبكة TCP والتسلسل الفعال للشبكة وضغط QuickLZ.
يحذر باحثو الأمن السيبراني من أن الشعبية المتزايدة لـ SeroXen قد تؤدي إلى تحول محتمل في التركيز من استهداف اللاعبين إلى استهداف المؤسسات الأكبر. لمساعدة المدافعين عن الشبكة في مكافحة هذا التهديد ، يجب على المنظمات اتخاذ الاحتياطات ضد التهديد. هناك موارد قيمة لتحديد وجود SeroXen داخل الشبكات والتخفيف من حدته ، مما يمكّن المدافعين من تعزيز تدابير الأمن السيبراني والحماية من الهجمات المحتملة.
