SeroXen RAT

جامعه مجرمان سایبری یک تروجان دسترسی از راه دور مخفی (RAT) به نام «SeroXen» را به دلیل قابلیت‌های قدرتمند و توانایی فرار از شناسایی، به طور فزاینده‌ای اتخاذ کرده است.

بر اساس گزارش‌های AT&T، این بدافزار به‌طور فریبنده‌ای به‌عنوان ابزار دسترسی از راه دور قانونی برای ویندوز 11 و 10 به بازار عرضه می‌شود. این بدافزار با هزینه اشتراک ماهانه 15 دلار یا پرداخت مجوز یکباره «مادام‌العمر» 60 دلار ارائه می‌شود. علیرغم ارائه به عنوان یک ابزار قانونی، SeroXen در واقع به عنوان یک تروجان دسترسی از راه دور در انجمن های هک تبلیغ می شود. هویت افراد پشت این تبلیغات، چه توسعه دهندگان واقعی یا فروشندگان بی پروا، نامشخص است.

SeroXen RAT در بین مجرمان سایبری مورد توجه قرار گرفته است

قیمت مقرون به صرفه برنامه دسترسی از راه دور SeroXen، آن را برای طیف وسیعی از عوامل تهدید قابل دسترس کرده است. AT&T نمونه های متعددی از SeroXen را از زمان ظهور آن در سپتامبر 2022 شناسایی کرده است و اخیراً فعالیت پیرامون آن تشدید شده است.

در حالی که اهداف اولیه SeroXen افراد در جامعه بازی‌ها بوده‌اند، نگرانی فزاینده‌ای وجود دارد که با گسترش محبوبیت این ابزار، ممکن است برای هدف قرار دادن نهادهای بزرگ‌تر مانند شرکت‌ها و سازمان‌های برجسته نیز استفاده شود.

افزایش محبوبیت SeroXen در بین مجرمان سایبری را می توان به نرخ تشخیص پایین و قابلیت های قوی آن نسبت داد. ظاهر فریبنده آن به عنوان یک ابزار دسترسی از راه دور مشروع، آن را به انتخابی جذاب برای عوامل تهدید تبدیل کرده است. برای کاهش خطرات مرتبط با این تروجان دسترسی از راه دور، لازم است افراد و سازمان‌ها مراقب باشند و اقدامات امنیتی قوی را اجرا کنند.

SeroXen RAT از پروژه های مختلف منبع باز توسعه یافته است

SeroXen از چندین پروژه منبع باز استفاده می کند، از جمله Quasar RAT ، روت کیت r77 و ابزار خط فرمان NirCmd. توسعه‌دهنده SeroXen از ترکیبی از این منابع رایگان در دسترس برای ایجاد یک RAT استفاده کرده است که تشخیص آن از طریق تجزیه و تحلیل استاتیک و پویا چالش برانگیز است.

Quasar RAT که نزدیک به یک دهه از زمان عرضه اولیه آن در سال 2014 وجود داشته است، به عنوان پایه ای برای SeroXen RAT عمل می کند. این ابزار یک ابزار مدیریت از راه دور سبک وزن با آخرین نسخه، 1.41، با ویژگی هایی مانند پروکسی معکوس، پوسته راه دور، دسکتاپ از راه دور، ارتباط TLS و سیستم مدیریت فایل ارائه می کند. به طور آشکار در GitHub قابل دسترسی است.

SeroXen RAT برای گسترش قابلیت های خود از روت کیت r77 (Ring 3) استفاده می کند. این روت کیت منبع باز قابلیت هایی مانند تداوم بدون فایل، قلاب کردن فرآیندهای فرزند، جاسازی بدافزار، تزریق فرآیند در حافظه و فرار از تشخیص ضد بدافزار را ارائه می دهد. SeroXen همچنین ابزار NirCmd را ادغام می کند. NirCmd یک ابزار رایگان است که وظایف مدیریتی ساده ای را برای سیستم های ویندوز و تجهیزات جانبی از طریق اجرای خط فرمان تسهیل می کند.

تجزیه و تحلیل حملات SeroXen RAT

بردارهای حمله مختلفی برای توزیع SeroXen استفاده شده است، از جمله ایمیل های فیشینگ و کانال های Discord که توسط مجرمان سایبری استفاده می شود. این بازیگران بایگانی های ZIP حاوی فایل های دسته ای به شدت مبهم را توزیع می کنند.

پس از استخراج، فایل دسته ای یک متن رمزگذاری شده base64 را برای استخراج دو باینری رمزگشایی می کند. سپس این باینری ها با استفاده از انعکاس دات نت در حافظه بارگذاری می شوند. نسخه اصلاح شده msconfig.exe که برای اجرای بدافزار ضروری است، تنها فایلی است که با دیسک تعامل دارد. به طور موقت در دایرکتوری 'C:\Windows\System32V ذخیره می شود (به فضای اضافی توجه کنید)، که مدت کوتاهی است و پس از فرآیند نصب برنامه حذف می شود.

فایل دسته ای به عنوان وسیله ای برای استقرار بار "InstallStager.exe"، یک نوع از روت کیت r77 عمل می کند. برای حفظ مخفی کاری و ماندگاری، روت کیت مبهم شده و در رجیستری ویندوز ذخیره می شود. متعاقباً با استفاده از PowerShell از طریق Task Scheduler فعال می شود و خود را به فرآیند "winlogon.exe" تزریق می کند.

از طریق این تزریق، روت کیت r77 SeroXen RAT را به حافظه سیستم معرفی می کند و از حضور مخفی آن اطمینان می یابد و امکان دسترسی از راه دور به دستگاه در معرض خطر را فراهم می کند. هنگامی که بدافزار دسترسی از راه دور راه اندازی شد، با یک سرور Command and Control ارتباط برقرار می کند و منتظر دستورات مهاجمان است.

تجزیه و تحلیل نشان می دهد که SeroXen از گواهی TLS مشابه Quasar RAT استفاده می کند و بیشتر قابلیت ها را از پروژه اصلی به ارث برده است. این قابلیت ها شامل پشتیبانی از جریان های شبکه TCP، سریال سازی شبکه کارآمد و فشرده سازی QuickLZ می شود.

محققان امنیت سایبری هشدار می‌دهند که افزایش محبوبیت SeroXen می‌تواند منجر به تغییر بالقوه تمرکز از هدف قرار دادن گیمرها به هدف قرار دادن سازمان‌های بزرگتر شود. برای کمک به مدافعان شبکه در مبارزه با این تهدید، سازمان ها باید اقدامات احتیاطی را در برابر تهدید انجام دهند. منابع ارزشمندی برای شناسایی و کاهش حضور SeroXen در شبکه‌ها وجود دارد که مدافعان را قادر می‌سازد اقدامات امنیت سایبری خود را افزایش داده و در برابر حملات احتمالی محافظت کنند.