SeroXen RAT

সাইবার অপরাধী সম্প্রদায় তার শক্তিশালী ক্ষমতা এবং সনাক্তকরণ এড়াতে সক্ষমতার কারণে ক্রমবর্ধমানভাবে 'SeroXen' নামে একটি স্টিলথি রিমোট অ্যাক্সেস ট্রোজান (RAT) গ্রহণ করেছে।

AT&T-এর রিপোর্ট অনুসারে, ম্যালওয়্যারটি Windows 11 এবং 10-এর জন্য বৈধ রিমোট অ্যাক্সেস টুল হিসাবে প্রতারণামূলকভাবে বাজারজাত করা হচ্ছে। এটি $15 এর মাসিক সাবস্ক্রিপশন ফি বা $60-এর এককালীন "জীবনকাল" লাইসেন্স প্রদানের জন্য অফার করা হয়। একটি বৈধ হাতিয়ার হিসাবে উপস্থাপন করা সত্ত্বেও, SeroXen আসলে হ্যাকিং ফোরামে একটি রিমোট অ্যাক্সেস ট্রোজান হিসাবে প্রচার করা হচ্ছে। এই প্রচারের পিছনে থাকা ব্যক্তিদের পরিচয়, তারা প্রকৃত ডেভেলপার বা অসাধু রিসেলার কিনা তা অনিশ্চিত রয়ে গেছে।

SeroXen RAT সাইবার অপরাধীদের মধ্যে ট্র্যাকশন অর্জন করছে

SeroXen রিমোট অ্যাক্সেস প্রোগ্রামের সাশ্রয়ী মূল্যের পয়েন্ট এটিকে বিস্তৃত হুমকি অভিনেতাদের কাছে অ্যাক্সেসযোগ্য করে তুলেছে। AT&T 2022 সালের সেপ্টেম্বরে উত্থানের পর থেকে SeroXen-এর অসংখ্য নমুনা সনাক্ত করেছে এবং এর আশেপাশের কার্যকলাপ সম্প্রতি তীব্র হয়েছে।

যদিও SeroXen-এর প্রাথমিক লক্ষ্যগুলি গেমিং সম্প্রদায়ের মধ্যে ব্যক্তিত্ব ছিল, সেখানে একটি ক্রমবর্ধমান উদ্বেগ রয়েছে যে সরঞ্জামটির জনপ্রিয়তা প্রসারিত হওয়ার সাথে সাথে এটিকে বৃহত্তর সংস্থাগুলিকে লক্ষ্য করার জন্যও নিয়োগ করা হতে পারে, যেমন বিশিষ্ট কোম্পানি এবং সংস্থাগুলি।

সাইবার অপরাধীদের মধ্যে SeroXen-এর ক্রমবর্ধমান জনপ্রিয়তা এর কম সনাক্তকরণ হার এবং এর শক্তিশালী ক্ষমতার জন্য দায়ী করা যেতে পারে। একটি বৈধ রিমোট অ্যাক্সেস টুল হিসাবে এর প্রতারণামূলক ছদ্মবেশ এটিকে হুমকি অভিনেতাদের জন্য একটি আকর্ষণীয় পছন্দ করে তুলেছে। এই রিমোট অ্যাকসেস ট্রোজানের সাথে সম্পর্কিত ঝুঁকিগুলি প্রশমিত করার জন্য, ব্যক্তি এবং সংস্থাগুলির জন্য সতর্ক থাকা এবং দৃঢ় নিরাপত্তা ব্যবস্থা বাস্তবায়ন করা অপরিহার্য।

SeroXen RAT বিভিন্ন ওপেন-সোর্স প্রকল্প থেকে তৈরি করা হয়েছে

SeroXen Quasar RAT , r77 রুটকিট এবং NirCmd কমান্ড লাইন টুল সহ বেশ কয়েকটি ওপেন-সোর্স প্রকল্পের উপর আঁকে। SeroXen বিকাশকারী চতুরতার সাথে একটি RAT তৈরি করতে এই অবাধে উপলব্ধ সংস্থানগুলির সংমিশ্রণ ব্যবহার করেছে যা স্ট্যাটিক এবং ডাইনামিক উভয় বিশ্লেষণের মাধ্যমে সনাক্ত করা চ্যালেঞ্জিং।

Quasar RAT, যা 2014 সালে তার প্রাথমিক প্রকাশের পর থেকে প্রায় এক দশক ধরে বিদ্যমান, SeroXen RAT-এর ভিত্তি হিসেবে কাজ করে। এটি একটি লাইটওয়েট রিমোট অ্যাডমিনিস্ট্রেশন টুল প্রদান করে লেটেস্ট ভার্সন, 1.41, যা রিভার্স প্রক্সি, রিমোট শেল, রিমোট ডেস্কটপ, টিএলএস কমিউনিকেশন এবং একটি ফাইল ম্যানেজমেন্ট সিস্টেমের মতো বৈশিষ্ট্যগুলিকে অন্তর্ভুক্ত করে। এটি GitHub-এ প্রকাশ্যে অ্যাক্সেসযোগ্য।

এর ক্ষমতা প্রসারিত করতে, SeroXen RAT r77 (রিং 3) রুটকিট নিয়োগ করে। এই ওপেন-সোর্স রুটকিটটি কার্যকারিতা প্রদান করে যেমন ফাইল-কম অধ্যবসায়, শিশু প্রক্রিয়ার হুকিং, ম্যালওয়্যার এম্বেডিং, ইন-মেমরি প্রসেস ইনজেকশন এবং অ্যান্টি-ম্যালওয়্যার সনাক্তকরণের ফাঁকি। SeroXen NirCmd ইউটিলিটিও সংহত করে। NirCmd হল একটি ফ্রিওয়্যার টুল যা কমান্ড-লাইন এক্সিকিউশনের মাধ্যমে উইন্ডোজ সিস্টেম এবং পেরিফেরালগুলির জন্য সহজ পরিচালনার কাজগুলিকে সহজতর করে।

SeroXen RAT এর আক্রমণের বিশ্লেষণ

সাইবার অপরাধীদের দ্বারা ব্যবহৃত ফিশিং ইমেল এবং ডিসকর্ড চ্যানেল সহ SeroXen বিতরণ করার জন্য বিভিন্ন আক্রমণ ভেক্টর নিযুক্ত করা হয়েছে। এই অভিনেতারা জিপ সংরক্ষণাগারগুলি বিতরণ করে যাতে ভারী অস্পষ্ট ব্যাচ ফাইল রয়েছে।

নিষ্কাশনের পরে, ব্যাচ ফাইল দুটি বাইনারি বের করতে একটি base64 এনকোড করা পাঠ্য ডিকোড করে। এই বাইনারিগুলি তারপর .NET প্রতিফলন ব্যবহার করে মেমরিতে লোড করা হয়। msconfig.exe-এর পরিবর্তিত সংস্করণ, ম্যালওয়্যার চালানোর জন্য প্রয়োজনীয়, একমাত্র ফাইল যা ডিস্কের সাথে ইন্টারঅ্যাক্ট করে। এটি অস্থায়ীভাবে 'C:\Windows \System32V ডিরেক্টরিতে সংরক্ষিত থাকে (অতিরিক্ত স্থানটি লক্ষ্য করুন), যা স্বল্পস্থায়ী এবং প্রোগ্রাম ইনস্টলেশন প্রক্রিয়ার পরে মুছে ফেলা হয়।

ব্যাচ ফাইলটি 'InstallStager.exe' পেলোড স্থাপন করার জন্য একটি বাহন হিসেবে কাজ করে, যা r77 রুটকিটের একটি বৈকল্পিক। স্টিলথ এবং অধ্যবসায় বজায় রাখার জন্য, রুটকিটটি অস্পষ্ট এবং উইন্ডোজ রেজিস্ট্রিতে সংরক্ষণ করা হয়। পরবর্তীকালে, এটি টাস্ক শিডিউলারের মাধ্যমে PowerShell ব্যবহার করে সক্রিয় করা হয়, নিজেকে "winlogon.exe" প্রক্রিয়ায় ইনজেকশন করে।

এই ইনজেকশনের মাধ্যমে, r77 রুটকিট সিস্টেমের মেমরিতে SeroXen RAT প্রবর্তন করে, এর গোপন উপস্থিতি নিশ্চিত করে এবং আপস করা ডিভাইসে দূরবর্তী অ্যাক্সেস সক্ষম করে। একবার রিমোট অ্যাক্সেস ম্যালওয়্যার চালু হলে, এটি একটি কমান্ড এবং কন্ট্রোল সার্ভারের সাথে যোগাযোগ স্থাপন করে, আক্রমণকারীদের কাছ থেকে আদেশের জন্য অপেক্ষা করে।

বিশ্লেষণ প্রকাশ করে যে SeroXen Quasar RAT এর মতো একই TLS শংসাপত্র নিয়োগ করে এবং এটি মূল প্রকল্প থেকে বেশিরভাগ ক্ষমতা উত্তরাধিকার সূত্রে পায়। এই ক্ষমতাগুলি TCP নেটওয়ার্ক স্ট্রীম, দক্ষ নেটওয়ার্ক সিরিয়ালাইজেশন, এবং QuickLZ কম্প্রেশনের জন্য সমর্থন অন্তর্ভুক্ত করে।

সাইবারসিকিউরিটি গবেষকরা সতর্ক করেছেন যে SeroXen-এর ক্রমবর্ধমান জনপ্রিয়তা গেমারদের টার্গেট করা থেকে বৃহত্তর সংস্থাগুলিকে টার্গেট করার দিকে ফোকাসের সম্ভাব্য পরিবর্তনের দিকে নিয়ে যেতে পারে। এই হুমকি মোকাবেলায় নেটওয়ার্ক ডিফেন্ডারদের সহায়তা করার জন্য, সংস্থাগুলিকে হুমকির বিরুদ্ধে সতর্কতা অবলম্বন করা উচিত। নেটওয়ার্কের মধ্যে SeroXen-এর উপস্থিতি শনাক্তকরণ ও প্রশমিত করার জন্য মূল্যবান সম্পদ রয়েছে, ডিফেন্ডারদের তাদের সাইবার নিরাপত্তা ব্যবস্থা উন্নত করতে এবং সম্ভাব্য আক্রমণ থেকে রক্ষা করতে সক্ষম করে।