SeroXen RAT
Komunita kyberzločinců si stále více osvojuje tajného trojského koně pro vzdálený přístup (RAT) s názvem „SeroXen“ díky jeho výkonným schopnostem a schopnosti vyhnout se detekci.
Podle zpráv AT&T je malware podvodně nabízen jako legitimní nástroj pro vzdálený přístup pro Windows 11 a 10. Je nabízen za měsíční předplatné ve výši 15 USD nebo za jednorázovou „doživotní“ licenční platbu ve výši 60 USD. Přestože je SeroXen prezentován jako legitimní nástroj, je ve skutečnosti propagován jako trojský kůň pro vzdálený přístup na hackerských fórech. Identita osob stojících za těmito propagacemi, ať už jde o skutečné vývojáře nebo bezohledné prodejce, zůstává nejistá.
Obsah
SeroXen RAT si získává pozornost mezi kyberzločinci
Dostupná cena programu vzdáleného přístupu SeroXen jej zpřístupnila široké škále aktérů hrozeb. AT&T identifikovala četné vzorky SeroXenu od jeho vzniku v září 2022 a aktivita kolem něj se v poslední době zintenzivnila.
Zatímco primárními cíli SeroXenu byli jednotlivci v rámci herní komunity, existuje stále větší obava, že s rostoucí popularitou tohoto nástroje může být také použit k zacílení na větší subjekty, jako jsou významné společnosti a organizace.
Rostoucí popularita SeroXenu mezi kyberzločinci lze přičíst jeho nízké míře detekce a jeho silným schopnostem. Jeho klamavá maska jako legitimní nástroj pro vzdálený přístup z něj učinila atraktivní volbu pro aktéry hrozeb. Ke zmírnění rizik spojených s tímto trojským koněm pro vzdálený přístup je nezbytné, aby jednotlivci a organizace zůstali ostražití a zavedli robustní bezpečnostní opatření.
SeroXen RAT je vyvinut z různých open-source projektů
SeroXen čerpá z několika open source projektů, včetně Quasar RAT , rootkitu r77 a nástroje příkazového řádku NirCmd. Vývojář SeroXen chytře využil kombinaci těchto volně dostupných zdrojů k vytvoření RAT, který je náročný na detekci statickou i dynamickou analýzou.
Quasar RAT, který existuje téměř deset let od svého prvního vydání v roce 2014, slouží jako základ pro SeroXen RAT. Poskytuje lehký nástroj pro vzdálenou správu s nejnovější verzí 1.41, který obsahuje funkce jako reverzní proxy, vzdálený shell, vzdálená plocha, TLS komunikace a systém správy souborů. Je otevřeně přístupný na GitHubu.
Pro rozšíření svých možností využívá SeroXen RAT rootkit r77 (Ring 3). Tento open source rootkit nabízí funkce, jako je vytrvalost bez souborů, hákování podřízených procesů, vkládání malwaru, vkládání procesů do paměti a vyhýbání se detekci antimalwaru. SeroXen také integruje nástroj NirCmd. NirCmd je bezplatný nástroj, který usnadňuje jednoduché úlohy správy systémů Windows a periferních zařízení prostřednictvím spouštění z příkazového řádku.
Analýza útoků SeroXen RAT
K distribuci SeroXenu byly použity různé způsoby útoků, včetně phishingových e-mailů a kanálů Discord využívaných kyberzločinci. Tito aktéři distribuují archivy ZIP obsahující silně zamlžené dávkové soubory.
Po extrakci dávkový soubor dekóduje text kódovaný base64, aby extrahoval dva binární soubory. Tyto binární soubory jsou pak načteny do paměti pomocí reflexe .NET. Upravená verze msconfig.exe, nezbytná pro spuštění malwaru, je jediným souborem, který interaguje s diskem. Dočasně je uložen v adresáři 'C:\Windows \System32V (všimněte si místa navíc), který je krátkodobý a po procesu instalace programu se smaže.
Dávkový soubor slouží jako prostředek pro nasazení datové části 'InstallStager.exe', což je varianta rootkitu r77. Pro zachování utajení a perzistence je rootkit zatemněn a uložen v registru Windows. Následně se aktivuje pomocí PowerShellu prostřednictvím Plánovače úloh a vloží se do procesu „winlogon.exe“.
Prostřednictvím této injekce zavádí rootkit r77 SeroXen RAT do paměti systému, zajišťuje jeho skrytou přítomnost a umožňuje vzdálený přístup k napadenému zařízení. Jakmile je malware pro vzdálený přístup spuštěn, naváže komunikaci s velitelským a řídicím serverem a čeká na příkazy od útočníků.
Analýza ukazuje, že SeroXen používá stejný certifikát TLS jako Quasar RAT a zdědí většinu schopností z původního projektu. Tyto možnosti zahrnují podporu pro síťové toky TCP, efektivní serializaci sítě a kompresi QuickLZ.
Výzkumníci v oblasti kybernetické bezpečnosti varují, že rostoucí popularita SeroXenu by mohla vést k potenciálnímu posunu zaměření od cílení na hráče k cílení na větší organizace. Aby organizace pomohly obráncům sítě v boji proti této hrozbě, měly by proti hrozbě přijmout opatření. Existují cenné zdroje pro identifikaci a zmírnění přítomnosti SeroXenu v sítích, což obráncům umožňuje zlepšit jejich kybernetická bezpečnostní opatření a chránit se před potenciálními útoky.
