SeroXen RAT
Η κοινότητα των εγκληματιών στον κυβερνοχώρο έχει υιοθετήσει έναν κρυφό Trojan Απομακρυσμένης Πρόσβασης (RAT) που ονομάζεται «SeroXen» όλο και περισσότερο λόγω των ισχυρών δυνατοτήτων και της ικανότητάς του να αποφεύγει τον εντοπισμό.
Σύμφωνα με αναφορές από την AT&T, το κακόβουλο λογισμικό προωθείται παραπλανητικά ως νόμιμο εργαλείο απομακρυσμένης πρόσβασης για Windows 11 και 10. Προσφέρεται με μηνιαία συνδρομή 15 $ ή με εφάπαξ πληρωμή άδειας χρήσης 60 $. Παρά το γεγονός ότι παρουσιάζεται ως νόμιμο εργαλείο, το SeroXen στην πραγματικότητα προωθείται ως Trojan απομακρυσμένης πρόσβασης σε φόρουμ hacking. Η ταυτότητα των ατόμων πίσω από αυτές τις προωθήσεις, είτε πρόκειται για πραγματικούς προγραμματιστές είτε για αδίστακτους μεταπωλητές, παραμένει αβέβαιη.
Πίνακας περιεχομένων
Το SeroXen RAT κερδίζει έλξη μεταξύ των εγκληματιών του κυβερνοχώρου
Η προσιτή τιμή του προγράμματος απομακρυσμένης πρόσβασης SeroXen το έχει καταστήσει προσιτό σε ένα ευρύ φάσμα παραγόντων απειλής. Η AT&T έχει εντοπίσει πολλά δείγματα SeroXen από την εμφάνισή του, τον Σεπτέμβριο του 2022, και η δραστηριότητα γύρω από αυτό έχει ενταθεί πρόσφατα.
Ενώ οι πρωταρχικοί στόχοι του SeroXen ήταν άτομα στην κοινότητα του gaming, υπάρχει μια αυξανόμενη ανησυχία ότι καθώς αυξάνεται η δημοτικότητα του εργαλείου, μπορεί επίσης να χρησιμοποιηθεί για τη στόχευση μεγαλύτερων οντοτήτων, όπως εξέχουσες εταιρείες και οργανισμούς.
Η αυξανόμενη δημοτικότητα του SeroXen μεταξύ των εγκληματιών του κυβερνοχώρου μπορεί να αποδοθεί στα χαμηλά ποσοστά ανίχνευσης και στις ισχυρές δυνατότητές του. Η παραπλανητική του μορφή ως νόμιμο Εργαλείο Απομακρυσμένης Πρόσβασης το έχει καταστήσει ελκυστική επιλογή για τους φορείς απειλών. Για τον μετριασμό των κινδύνων που σχετίζονται με αυτόν τον Trojan Remote Access, είναι επιτακτική ανάγκη για άτομα και οργανισμούς να παραμείνουν σε επαγρύπνηση και να εφαρμόσουν ισχυρά μέτρα ασφαλείας.
Το SeroXen RAT αναπτύχθηκε από διάφορα έργα ανοιχτού κώδικα
Το SeroXen βασίζεται σε πολλά έργα ανοιχτού κώδικα, όπως το Quasar RAT , το rootkit r77 και το εργαλείο γραμμής εντολών NirCmd. Ο προγραμματιστής του SeroXen έχει χρησιμοποιήσει έξυπνα έναν συνδυασμό αυτών των ελεύθερα διαθέσιμων πόρων για να δημιουργήσει ένα RAT που είναι δύσκολο να εντοπιστεί μέσω στατικής και δυναμικής ανάλυσης.
Το Quasar RAT, το οποίο υπάρχει για σχεδόν μια δεκαετία από την αρχική του κυκλοφορία το 2014, χρησιμεύει ως βάση για το SeroXen RAT. Παρέχει ένα ελαφρύ Εργαλείο Απομακρυσμένης Διαχείρισης με την πιο πρόσφατη έκδοση, 1.41, που ενσωματώνει χαρακτηριστικά όπως αντίστροφο διακομιστή μεσολάβησης, απομακρυσμένο κέλυφος, απομακρυσμένη επιφάνεια εργασίας, επικοινωνία TLS και σύστημα διαχείρισης αρχείων. Είναι ανοιχτά προσβάσιμο στο GitHub.
Για να επεκτείνει τις δυνατότητές του, το SeroXen RAT χρησιμοποιεί το rootkit r77 (Ring 3). Αυτό το rootkit ανοιχτού κώδικα προσφέρει λειτουργίες όπως επιμονή χωρίς αρχεία, αγκίστρωση θυγατρικών διεργασιών, ενσωμάτωση κακόβουλου λογισμικού, έγχυση διεργασιών στη μνήμη και αποφυγή εντοπισμού κακόβουλου λογισμικού. Το SeroXen ενσωματώνει επίσης το βοηθητικό πρόγραμμα NirCmd. Το NirCmd είναι ένα δωρεάν εργαλείο που διευκολύνει απλές εργασίες διαχείρισης για συστήματα Windows και περιφερειακά μέσω της εκτέλεσης στη γραμμή εντολών.
Ανάλυση των επιθέσεων του SeroXen RAT
Διάφοροι φορείς επιθέσεων έχουν χρησιμοποιηθεί για τη διανομή του SeroXen, συμπεριλαμβανομένων των email phishing και των καναλιών Discord που χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου. Αυτοί οι ηθοποιοί διανέμουν αρχεία ZIP που περιέχουν πολύ ασαφή αρχεία παρτίδας.
Κατά την εξαγωγή, το αρχείο δέσμης αποκωδικοποιεί ένα κωδικοποιημένο κείμενο base64 για την εξαγωγή δύο δυαδικών αρχείων. Αυτά τα δυαδικά αρχεία στη συνέχεια φορτώνονται στη μνήμη χρησιμοποιώντας ανάκλαση .NET. Η τροποποιημένη έκδοση του msconfig.exe, απαραίτητη για την εκτέλεση του κακόβουλου λογισμικού, είναι το μόνο αρχείο που αλληλεπιδρά με το δίσκο. Αποθηκεύεται προσωρινά στον κατάλογο 'C:\Windows \System32V (προσέξτε τον επιπλέον χώρο), ο οποίος έχει μικρή διάρκεια και διαγράφεται μετά τη διαδικασία εγκατάστασης του προγράμματος.
Το αρχείο δέσμης χρησιμεύει ως όχημα για την ανάπτυξη του ωφέλιμου φορτίου «InstallStager.exe», μια παραλλαγή του rootkit r77. Για να διατηρηθεί η μυστικότητα και η επιμονή, το rootkit είναι ασαφές και αποθηκεύεται στο μητρώο των Windows. Στη συνέχεια, ενεργοποιείται χρησιμοποιώντας το PowerShell μέσω του Task Scheduler, εισάγοντας τον εαυτό του στη διαδικασία "winlogon.exe".
Μέσω αυτής της έγχυσης, το rootkit r77 εισάγει το SeroXen RAT στη μνήμη του συστήματος, διασφαλίζοντας την κρυφή του παρουσία και επιτρέποντας την απομακρυσμένη πρόσβαση στην παραβιασμένη συσκευή. Μόλις εκκινηθεί το κακόβουλο λογισμικό απομακρυσμένης πρόσβασης, δημιουργεί επικοινωνία με έναν διακομιστή Command and Control, αναμένοντας εντολές από τους εισβολείς.
Η ανάλυση αποκαλύπτει ότι το SeroXen χρησιμοποιεί το ίδιο πιστοποιητικό TLS με το Quasar RAT και κληρονομεί τις περισσότερες από τις δυνατότητες από το αρχικό έργο. Αυτές οι δυνατότητες περιλαμβάνουν υποστήριξη για ροές δικτύου TCP, αποτελεσματική σειριοποίηση δικτύου και συμπίεση QuickLZ.
Οι ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η αυξανόμενη δημοτικότητα του SeroXen θα μπορούσε να οδηγήσει σε πιθανή αλλαγή της εστίασης από τη στόχευση παικτών στη στόχευση μεγαλύτερων οργανισμών. Για να βοηθήσουν τους υπερασπιστές του δικτύου στην καταπολέμηση αυτής της απειλής, οι οργανισμοί θα πρέπει να λαμβάνουν προφυλάξεις έναντι της απειλής. Υπάρχουν πολύτιμοι πόροι για τον εντοπισμό και τον μετριασμό της παρουσίας του SeroXen στα δίκτυα, δίνοντας τη δυνατότητα στους υπερασπιστές να ενισχύσουν τα μέτρα ασφάλειας στον κυβερνοχώρο και να προστατεύσουν από πιθανές επιθέσεις.
