SeroXen RAT
Kyberrikollisyhteisö on omaksunut salaperäisen etäkäyttötroijalaisen (RAT), jonka nimi on SeroXen, johtuen sen tehokkaista ominaisuuksista ja kyvystä välttää havaitseminen.
AT&T:n raporttien mukaan haittaohjelmaa markkinoidaan petollisesti laillisena etäkäyttötyökaluna Windows 11:lle ja 10:lle. Sitä tarjotaan 15 dollarin kuukausimaksulla tai kertaluonteisella "elinikäisellä" 60 dollarin lisenssimaksulla. Huolimatta siitä, että SeroXen esitellään laillisena työkaluna, sitä itse asiassa mainostetaan etäkäyttötroijalaisena hakkerointifoorumeilla. Näiden kampanjoiden takana olevien henkilöiden henkilöllisyys, olivatpa he todellisia kehittäjiä vai häikäilemättömiä jälleenmyyjiä, ovat edelleen epävarmoja.
Sisällysluettelo
SeroXen RAT on saamassa pitoa kyberrikollisten keskuudessa
SeroXen-etäkäyttöohjelman edullinen hinta on tehnyt siitä laajan joukon uhkatoimijoita saatavilla. AT&T on tunnistanut useita näytteitä SeroXenistä sen ilmestymisen jälkeen syyskuussa 2022, ja sen ympärillä oleva toiminta on viime aikoina voimistunut.
Vaikka SeroXenin ensisijaiset kohteet ovat olleet peliyhteisön sisällä olevat henkilöt, on kasvava huoli siitä, että työkalun suosion kasvaessa sitä voidaan käyttää myös suurempien yksiköiden, kuten merkittävien yritysten ja organisaatioiden, kohdistamiseen.
SeroXenin kasvava suosio kyberrikollisten keskuudessa johtuu sen alhaisista havaitsemismääristä ja sen vahvoista ominaisuuksista. Sen petollinen muoto laillisena etäkäyttötyökaluna on tehnyt siitä houkuttelevan valinnan uhkatoimijoille. Tähän etäkäyttötroijalaiseen liittyvien riskien vähentämiseksi on ehdottoman tärkeää, että yksilöt ja organisaatiot pysyvät valppaina ja ottavat käyttöön vankat suojaustoimenpiteet.
SeroXen RAT on kehitetty useista avoimen lähdekoodin projekteista
SeroXen hyödyntää useita avoimen lähdekoodin projekteja, mukaan lukien Quasar RAT , r77 rootkit ja NirCmd-komentorivityökalu. SeroXen-kehittäjä on taitavasti hyödyntänyt näiden vapaasti käytettävissä olevien resurssien yhdistelmää luodakseen RAT:n, jonka havaitseminen on haastavaa sekä staattisen että dynaamisen analyysin avulla.
Quasar RAT, joka on ollut olemassa lähes vuosikymmenen ensimmäisestä julkaisustaan vuonna 2014, toimii SeroXen RATin perustana. Se tarjoaa kevyen etähallintatyökalun uusimmalla versiolla 1.41, joka sisältää ominaisuuksia, kuten käänteisen välityspalvelimen, etäkäskyn, etätyöpöydän, TLS-viestinnän ja tiedostonhallintajärjestelmän. Se on avoimesti käytettävissä GitHubissa.
Laajentaakseen ominaisuuksiaan SeroXen RAT käyttää r77 (Ring 3) -rootkitiä. Tämä avoimen lähdekoodin rootkit tarjoaa toimintoja, kuten tiedostotonta pysyvyyttä, lapsiprosessien kiinnittämistä, haittaohjelmien upottamista, muistiin lisättävien prosessien lisäystä ja haittaohjelmien havaitsemisen kiertämistä. SeroXen integroi myös NirCmd-apuohjelman. NirCmd on ilmainen työkalu, joka helpottaa Windows-järjestelmien ja oheislaitteiden yksinkertaisia hallintatehtäviä komentorivin suorittamisen kautta.
SeroXen RAT:n hyökkäysten analyysi
SeroXenin levittämiseen on käytetty erilaisia hyökkäysvektoreita, mukaan lukien tietokalasteluviestit ja verkkorikollisten käyttämät Discord-kanavat. Nämä toimijat jakavat ZIP-arkistoja, jotka sisältävät voimakkaasti hämärtyneitä erätiedostoja.
Purkamisen yhteydessä erätiedosto purkaa base64-koodatun tekstin kahden binaarin purkamiseksi. Nämä binaarit ladataan sitten muistiin .NET-heijastuksen avulla. Haittaohjelman suorittamiseen tarvittava msconfig.exe-tiedoston muokattu versio on ainoa tiedosto, joka on vuorovaikutuksessa levyn kanssa. Se tallennetaan väliaikaisesti hakemistoon 'C:\Windows \System32V (huomaa ylimääräinen tila), joka on lyhytaikainen ja poistetaan ohjelman asennuksen jälkeen.
Erätiedosto toimii välineenä 'InstallStager.exe'-hyötykuorman, r77-rootkit-version, käyttöönotossa. Hiljaisuuden ja pysyvyyden ylläpitämiseksi rootkit on hämärtynyt ja tallennettu Windowsin rekisteriin. Myöhemmin se aktivoidaan PowerShellin avulla Task Scheduler -sovelluksen kautta ja ruiskutetaan "winlogon.exe"-prosessiin.
Tämän injektion avulla r77-rootkit tuo SeroXen RAT:n järjestelmän muistiin varmistaen sen peiton läsnäolon ja mahdollistaen etäkäytön vaarantuneeseen laitteeseen. Kun etäkäyttöhaittaohjelma on käynnistetty, se muodostaa yhteyden Command and Control -palvelimeen odottaen hyökkääjien komentoja.
Analyysi paljastaa, että SeroXen käyttää samaa TLS-sertifikaattia kuin Quasar RAT, ja se perii suurimman osan alkuperäisen projektin ominaisuuksista. Nämä ominaisuudet sisältävät tuen TCP-verkkovirroille, tehokkaan verkon serialisoinnin ja QuickLZ-pakkauksen.
Kyberturvallisuustutkijat varoittavat, että SeroXenin kasvava suosio voi johtaa mahdolliseen painopisteen siirtymiseen pelaajien kohdentamisesta suurempiin organisaatioihin. Auttaakseen verkoston puolustajia tämän uhan torjumisessa, organisaatioiden tulee ryhtyä varotoimiin uhkaa vastaan. SeroXenin esiintymisen verkoissa tunnistamiseen ja lieventämiseen on arvokkaita resursseja, joiden avulla puolustajat voivat tehostaa kyberturvallisuustoimenpiteitään ja suojautua mahdollisilta hyökkäyksiltä.
