SeroXen RAT
Küberkurjategijate kogukond on oma võimsate võimaluste ja tuvastamisest kõrvale hoidumise tõttu üha enam kasutusele võtnud varjatud kaugjuurdepääsu troojalase (RAT), mille nimi on "SeroXen".
AT&T aruannete kohaselt turustatakse pahavara petlikult kui legitiimset kaugjuurdepääsu tööriista Windows 11 ja 10 jaoks. Seda pakutakse 15 dollari suuruse igakuise abonemendi või 60 dollari suuruse ühekordse "eluaegse" litsentsimakse eest. Vaatamata sellele, et SeroXenit esitletakse seadusliku tööriistana, reklaamitakse seda häkkimisfoorumites kaugjuurdepääsu troojalasena. Nende reklaamide taga olevate isikute identiteedid, olgu nad siis tegelikud arendajad või hoolimatud edasimüüjad, on endiselt ebakindlad.
Sisukord
SeroXen RAT kogub küberkurjategijate seas haardejõudu
SeroXeni kaugjuurdepääsuprogrammi taskukohane hind on muutnud selle kättesaadavaks paljudele ohus osalejatele. AT&T on tuvastanud arvukalt SeroXeni näidiseid alates selle ilmumisest 2022. aasta septembris ja sellega seotud tegevus on viimasel ajal hoogustunud.
Kuigi SeroXeni peamisteks sihtmärkideks on olnud üksikisikud mänguringkondades, on kasvav mure, et tööriista populaarsuse kasvades võidakse seda kasutada ka suuremate üksuste, näiteks silmapaistvate ettevõtete ja organisatsioonide sihtimiseks.
SeroXeni kasvavat populaarsust küberkurjategijate seas võib seostada selle madala avastamismäära ja tugevate võimalustega. Selle petlik varjund seadusliku kaugjuurdepääsu tööriistana on muutnud selle ohus osalejate jaoks atraktiivseks valikuks. Selle kaugjuurdepääsu troojalasega seotud riskide maandamiseks peavad üksikisikud ja organisatsioonid olema valvsad ja rakendama tugevaid turvameetmeid.
SeroXen RAT on välja töötatud erinevatest avatud lähtekoodiga projektidest
SeroXen kasutab mitmeid avatud lähtekoodiga projekte, sealhulgas Quasar RAT , r77 juurkomplekt ja NirCmd käsurea tööriist. SeroXeni arendaja on nutikalt kasutanud nende vabalt saadaolevate ressursside kombinatsiooni, et luua RAT, mida on keeruline tuvastada nii staatilise kui ka dünaamilise analüüsi abil.
Quasar RAT, mis on eksisteerinud peaaegu kümme aastat alates selle esmasest väljalaskmisest 2014. aastal, on SeroXen RATi aluseks. See pakub kerget kaughaldustööriista uusima versiooniga 1.41, mis sisaldab selliseid funktsioone nagu pöördpuhverserver, kaugshell, kaugtöölaud, TLS-side ja failihaldussüsteem. See on GitHubis avalikult juurdepääsetav.
Oma võimaluste laiendamiseks kasutab SeroXen RAT juurkomplekti r77 (Ring 3). See avatud lähtekoodiga juurkomplekt pakub selliseid funktsioone nagu failivaba püsivus, alamprotsesside haakimine, pahavara manustamine, mällu protsesside sisestamine ja pahavaratõrje tuvastamisest kõrvalehoidmine. SeroXen integreerib ka utiliidi NirCmd. NirCmd on vabavaraline tööriist, mis hõlbustab Windowsi süsteemide ja välisseadmete lihtsaid haldustoiminguid käsurea abil.
SeroXen RAT-i rünnakute analüüs
SeroXeni levitamiseks on kasutatud erinevaid rünnakute vektoreid, sealhulgas andmepüügimeile ja küberkurjategijate kasutatavaid Discordi kanaleid. Need näitlejad levitavad ZIP-arhiive, mis sisaldavad tugevalt hägustatud pakifaile.
Ekstraheerimisel dekodeerib pakettfail base64-kodeeritud teksti, et eraldada kaks binaarfaili. Need kahendfailid laaditakse seejärel mällu, kasutades .NET-i peegeldust. Pahavara käivitamiseks vajalik msconfig.exe muudetud versioon on ainus fail, mis kettaga suhtleb. See salvestatakse ajutiselt 'C:\Windows \System32V kataloogi (pange tähele lisaruumi), mis on lühiajaline ja kustutatakse pärast programmi installiprotsessi.
Pakettfail on vahend „InstallStager.exe” kasuliku koormuse, r77 juurkomplekti variandi, juurutamiseks. Varjamise ja püsivuse säilitamiseks on juurkomplekt hägustatud ja salvestatud Windowsi registrisse. Seejärel aktiveeritakse see PowerShelli abil Task Scheduleri kaudu, sisestades end protsessi "winlogon.exe".
Selle süsti kaudu viib r77 juurkomplekt SeroXen RATi süsteemi mällu, tagades selle varjatud kohaloleku ja võimaldades kaugjuurdepääsu ohustatud seadmele. Pärast kaugjuurdepääsu pahavara käivitamist loob see side käsu- ja juhtimisserveriga, oodates ründajatelt käske.
Analüüs näitab, et SeroXen kasutab sama TLS-sertifikaati nagu Quasar RAT ja pärib suurema osa algse projekti võimalustest. Need võimalused hõlmavad TCP-võrgu voogude tuge, tõhusat võrgu serialiseerimist ja QuickLZ tihendamist.
Küberturvalisuse teadlased hoiatavad, et SeroXeni kasvav populaarsus võib kaasa tuua potentsiaalse fookuse nihkumise mängijate sihtimiselt suurematele organisatsioonidele. Võrgukaitsjate abistamiseks selle ohuga võitlemisel peaksid organisatsioonid võtma selle ohu vastu ettevaatusabinõusid. SeroXeni olemasolu tuvastamiseks ja leevendamiseks võrkudes on väärtuslikke ressursse, mis võimaldavad kaitsjatel oma küberjulgeolekumeetmeid tõhustada ja kaitsta võimalike rünnakute eest.
