SeroXen RAT
Общността на киберпрестъпниците все повече възприема скрит троянски кон за отдалечен достъп (RAT), наречен „SeroXen“, поради неговите мощни възможности и способността да избягва откриването.
Според доклади от AT&T злонамереният софтуер се рекламира измамно като законен инструмент за отдалечен достъп за Windows 11 и 10. Предлага се срещу месечна абонаментна такса от $15 или еднократно плащане за „доживотен“ лиценз от $60. Въпреки че е представен като легитимен инструмент, SeroXen всъщност се рекламира като троянски кон за отдалечен достъп в хакерски форуми. Самоличността на лицата зад тези промоции, независимо дали са действителни разработчици или безскрупулни дистрибутори, остава несигурна.
Съдържание
SeroXen RAT набира популярност сред киберпрестъпниците
Достъпната цена на програмата за отдалечен достъп SeroXen я направи достъпна за широк кръг от заплахи. AT&T идентифицира множество проби от SeroXen от появата му през септември 2022 г. и активността около него наскоро се засили.
Въпреки че основните цели на SeroXen са били отделни лица в общността на игрите, има нарастващо безпокойство, че с нарастването на популярността на инструмента той може да бъде използван и за насочване към по-големи субекти, като видни компании и организации.
Нарастващата популярност на SeroXen сред киберпрестъпниците може да се дължи на ниските нива на откриване и мощните му възможности. Неговата измамна маска като легитимен инструмент за отдалечен достъп го направи привлекателен избор за заплахите. За да се намалят рисковете, свързани с този троянски кон за отдалечен достъп, е наложително хората и организациите да останат бдителни и да прилагат стабилни мерки за сигурност.
SeroXen RAT е разработен от различни проекти с отворен код
SeroXen се основава на няколко проекта с отворен код, включително Quasar RAT , руткита r77 и инструмента за команден ред NirCmd. Разработчикът на SeroXen умело е използвал комбинация от тези свободно достъпни ресурси, за да създаде RAT, който е предизвикателство за откриване чрез статичен и динамичен анализ.
Quasar RAT, който съществува от почти десетилетие от първоначалното му пускане през 2014 г., служи като основа за SeroXen RAT. Той предоставя лек инструмент за отдалечено администриране с най-новата версия, 1.41, включваща функции като обратен прокси, отдалечена обвивка, отдалечен работен плот, TLS комуникация и система за управление на файлове. Той е открито достъпен в GitHub.
За да разшири своите възможности, SeroXen RAT използва руткита r77 (Ring 3). Този руткит с отворен код предлага функционалност като устойчивост без файлове, закачане на дъщерни процеси, вграждане на злонамерен софтуер, инжектиране на процеси в паметта и избягване на откриване на анти-зловреден софтуер. SeroXen също интегрира помощната програма NirCmd. NirCmd е безплатен инструмент, който улеснява прости задачи за управление на Windows системи и периферни устройства чрез изпълнение от командния ред.
Анализ на атаките на SeroXen RAT
За разпространението на SeroXen са използвани различни вектори на атака, включително фишинг имейли и канали на Discord, използвани от киберпрестъпниците. Тези участници разпространяват ZIP архиви, съдържащи силно объркани пакетни файлове.
При извличане пакетният файл декодира base64 кодиран текст, за да извлече два двоични файла. След това тези двоични файлове се зареждат в паметта с помощта на .NET отражение. Модифицираната версия на msconfig.exe, необходима за изпълнение на зловреден софтуер, е единственият файл, който взаимодейства с диска. Той се съхранява временно в директорията 'C:\Windows \System32V (забележете допълнителното пространство), която е краткотрайна и се изтрива след процеса на инсталиране на програмата.
Пакетният файл служи като средство за внедряване на полезния товар „InstallStager.exe“, вариант на руткита r77. За да се поддържа стелт и постоянство, руткитът е обфускиран и се съхранява в системния регистър на Windows. Впоследствие се активира с помощта на PowerShell чрез Task Scheduler, като се инжектира в процеса "winlogon.exe".
Чрез това инжектиране руткитът r77 въвежда SeroXen RAT в паметта на системата, осигурявайки неговото скрито присъствие и позволявайки отдалечен достъп до компрометираното устройство. След като злонамереният софтуер за отдалечен достъп бъде стартиран, той установява комуникация със сървър за командване и контрол, очаквайки команди от нападателите.
Анализът разкрива, че SeroXen използва същия TLS сертификат като Quasar RAT и наследява повечето от възможностите от оригиналния проект. Тези възможности включват поддръжка за TCP мрежови потоци, ефективна мрежова сериализация и QuickLZ компресия.
Изследователите на киберсигурността предупреждават, че нарастващата популярност на SeroXen може да доведе до потенциално изместване на фокуса от насочване към геймъри към насочване към по-големи организации. За да помогнат на мрежовите защитници в борбата с тази заплаха, организациите трябва да вземат предпазни мерки срещу заплахата. Има ценни ресурси за идентифициране и смекчаване на присъствието на SeroXen в мрежите, което позволява на защитниците да подобрят своите мерки за киберсигурност и да се защитят от потенциални атаки.
