SeroXen RAT
Det cyberkriminelle samfund har i stigende grad vedtaget en snigende Remote Access Trojan (RAT) ved navn 'SeroXen' på grund af dens stærke egenskaber og evne til at undgå opdagelse.
Ifølge rapporter fra AT&T bliver malwaren vildledende markedsført som et legitimt fjernadgangsværktøj til Windows 11 og 10. Det tilbydes for et månedligt abonnementsgebyr på $15 eller en engangs "livsvarig" licensbetaling på $60. På trods af at det præsenteres som et legitimt værktøj, bliver SeroXen faktisk promoveret som en fjernadgangstrojaner på hackingfora. Identiteten af personerne bag disse kampagner, uanset om de er faktiske udviklere eller skruppelløse forhandlere, er fortsat usikre.
Indholdsfortegnelse
SeroXen RAT vinder indpas blandt cyberkriminelle
Det overkommelige prispunkt for SeroXen fjernadgangsprogrammet har gjort det tilgængeligt for en lang række trusselsaktører. AT&T har identificeret adskillige prøver af SeroXen siden dets fremkomst i september 2022, og aktiviteten omkring det er for nylig blevet intensiveret.
Mens de primære mål for SeroXen har været individer inden for spilfællesskabet, er der en voksende bekymring for, at efterhånden som værktøjets popularitet udvides, kan det også bruges til at målrette mod større enheder, såsom fremtrædende virksomheder og organisationer.
Den stigende popularitet af SeroXen blandt cyberkriminelle kan tilskrives dets lave detektionsrater og dets stærke egenskaber. Dens vildledende skikkelse som et legitimt fjernadgangsværktøj har gjort det til et attraktivt valg for trusselsaktører. For at mindske de risici, der er forbundet med denne fjernadgangstrojaner, er det bydende nødvendigt for enkeltpersoner og organisationer at forblive på vagt og implementere robuste sikkerhedsforanstaltninger.
SeroXen RAT er udviklet fra forskellige open source-projekter
SeroXen trækker på adskillige open source-projekter, inklusive Quasar RAT , r77 rootkit og NirCmd kommandolinjeværktøjet. SeroXen-udvikleren har klogt brugt en kombination af disse frit tilgængelige ressourcer til at skabe en RAT, der er udfordrende at opdage gennem både statisk og dynamisk analyse.
Quasar RAT, som har eksisteret i næsten et årti siden den første udgivelse i 2014, fungerer som grundlaget for SeroXen RAT. Det giver et letvægts fjernadministrationsværktøj med den nyeste version, 1.41, der indeholder funktioner såsom reverse proxy, remote shell, remote desktop, TLS kommunikation og et filhåndteringssystem. Det er åbent tilgængeligt på GitHub.
For at udvide sine muligheder anvender SeroXen RAT r77 (Ring 3) rootkit. Dette open source-rootkit tilbyder funktionalitet såsom vedholdenhed uden filer, hooking af underordnede processer, indlejring af malware, procesinjektion i hukommelsen og omgåelse af anti-malware-detektion. SeroXen integrerer også NirCmd-værktøjet. NirCmd er et freeware-værktøj, der letter enkle administrationsopgaver for Windows-systemer og periferiudstyr gennem kommandolinjekørsel.
Analyse af SeroXen RATs angreb
Forskellige angrebsvektorer er blevet brugt til at distribuere SeroXen, herunder phishing-e-mails og Discord-kanaler, der bruges af cyberkriminelle. Disse aktører distribuerer ZIP-arkiver, der indeholder stærkt slørede batchfiler.
Ved udtrækning afkoder batchfilen en base64-kodet tekst for at udtrække to binære filer. Disse binære filer indlæses derefter i hukommelsen ved hjælp af .NET-refleksion. Den modificerede version af msconfig.exe, der er nødvendig for at udføre malwaren, er den eneste fil, der interagerer med disken. Det er midlertidigt gemt i mappen 'C:\Windows \System32V (bemærk den ekstra plads), som er kortvarig og slettes efter programinstallationsprocessen.
Batchfilen fungerer som et køretøj til at implementere 'InstallStager.exe' nyttelasten, en variant af r77 rootkit. For at bevare stealth og vedholdenhed er rootkittet sløret og gemt i Windows-registreringsdatabasen. Efterfølgende aktiveres den ved hjælp af PowerShell gennem Task Scheduler, der injicerer sig selv i "winlogon.exe"-processen.
Gennem denne injektion introducerer r77 rootkit SeroXen RAT i systemets hukommelse, hvilket sikrer dets skjulte tilstedeværelse og muliggør fjernadgang til den kompromitterede enhed. Når fjernadgangs-malwaren er lanceret, etablerer den kommunikation med en kommando- og kontrolserver og afventer kommandoer fra angriberne.
Analyse afslører, at SeroXen anvender det samme TLS-certifikat som Quasar RAT, og det arver de fleste af mulighederne fra det oprindelige projekt. Disse funktioner omfatter understøttelse af TCP-netværksstrømme, effektiv netværksserialisering og QuickLZ-komprimering.
Cybersikkerhedsforskere advarer om, at den stigende popularitet af SeroXen kan føre til et potentielt skift i fokus fra at målrette mod spillere til at målrette mod større organisationer. For at hjælpe netværksforsvarere med at bekæmpe denne trussel bør organisationer tage forholdsregler mod truslen. Der er værdifulde ressourcer til at identificere og afbøde tilstedeværelsen af SeroXen i netværk, hvilket gør det muligt for forsvarere at forbedre deres cybersikkerhedsforanstaltninger og beskytte mod potentielle angreb.
