SeroXen RAT
קהילת פושעי הסייבר אימצה יותר ויותר טרויאן גישה מרחוק (RAT) חמקני בשם 'SeroXen' בשל היכולות החזקות והיכולת שלו להתחמק מזיהוי.
על פי דיווחים מ-AT&T, התוכנה הזדונית משווקת בצורה מטעה ככלי לגיטימי לגישה מרחוק עבור Windows 11 ו-10. היא מוצעת תמורת דמי מנוי חודשיים של $15 או תשלום חד פעמי של רישיון "לכל החיים" של $60. למרות שהוצגה ככלי לגיטימי, SeroXen למעשה מקודמת כטרויאן של גישה מרחוק בפורומי פריצה. זהותם של האנשים שמאחורי המבצעים הללו, בין אם הם מפתחים בפועל או משווקים חסרי מצפון, נותרה לא ברורה.
תוכן העניינים
ה- SeroXen RAT צובר אחיזה בקרב פושעי סייבר
נקודת המחיר המשתלמת של תוכנית הגישה מרחוק SeroXen הפכה אותה לנגישה למגוון רחב של גורמי איומים. AT&T זיהתה דגימות רבות של SeroXen מאז הופעתה בספטמבר 2022, והפעילות סביבו התגברה לאחרונה.
בעוד שהמטרות העיקריות של SeroXen היו יחידים בתוך קהילת המשחקים, יש חשש גובר שככל שהפופולריות של הכלי מתרחבת, הוא עשוי להיות מופעל גם כדי למקד לגופים גדולים יותר, כמו חברות וארגונים בולטים.
ניתן לייחס את הפופולריות הגואה של SeroXen בקרב פושעי סייבר לשיעורי הזיהוי הנמוכים שלה וליכולות החזקות שלה. הלבוש המטעה שלו ככלי לגיטימי לגישה מרחוק הפך אותו לבחירה אטרקטיבית עבור גורמי איומים. כדי לצמצם את הסיכונים הכרוכים בטרויאני גישה מרחוק זה, הכרחי ליחידים ולארגונים להישאר ערניים וליישם אמצעי אבטחה חזקים.
SeroXen RAT פותח מפרויקטים שונים בקוד פתוח
SeroXen מסתמך על מספר פרויקטים בקוד פתוח, כולל Quasar RAT , r77 rootkit וכלי שורת הפקודה NirCmd. מפתח SeroXen השתמש בחוכמה בשילוב של המשאבים הזמינים בחופשיות הללו כדי ליצור RAT שקשה לזהות באמצעות ניתוח סטטי ודינאמי כאחד.
ה-Quasar RAT, שקיים כבר כמעט עשור מאז השקתו הראשונית ב-2014, משמש כבסיס ל-SeroXen RAT. הוא מספק כלי ניהול מרחוק קל משקל עם הגרסה העדכנית ביותר, 1.41, המשלב תכונות כגון פרוקסי הפוך, מעטפת מרחוק, שולחן עבודה מרוחק, תקשורת TLS ומערכת ניהול קבצים. זה נגיש בגלוי ב-GitHub.
כדי להרחיב את היכולות שלו, SeroXen RAT משתמש ב-r77 (Ring 3) rootkit. ערכת קוד פתוח זו מציעה פונקציונליות כגון התמדה ללא קבצים, חיבור של תהליכים צאצאים, הטמעת תוכנות זדוניות, הזרקת תהליכים בזיכרון והתחמקות מזיהוי נגד תוכנות זדוניות. SeroXen משלבת גם את כלי השירות NirCmd. NirCmd הוא כלי חינמי המאפשר משימות ניהול פשוטות עבור מערכות Windows וציוד היקפי באמצעות ביצוע שורת פקודה.
ניתוח ההתקפות של SeroXen RAT
וקטורי תקיפה שונים הופעלו להפצת SeroXen, כולל מיילים דיוגים וערוצי Discord המשמשים פושעי סייבר. שחקנים אלה מפיצים ארכיוני ZIP המכילים קבצי אצווה מעורפלים מאוד.
עם החילוץ, קובץ האצווה מפענח טקסט מקודד base64 כדי לחלץ שני קבצים בינאריים. קבצים בינאריים אלה נטענים לזיכרון באמצעות השתקפות NET. הגרסה השונה של msconfig.exe, הנחוצה להפעלת התוכנה הזדונית, היא הקובץ היחיד שמקיים אינטראקציה עם הדיסק. הוא מאוחסן באופן זמני בספריית 'C:\Windows \System32V (שים לב לרווח הנוסף), אשר קצר מועד ונמחק לאחר תהליך התקנת התוכנית.
קובץ האצווה משמש ככלי לפריסת המטען 'InstallStager.exe', גרסה של r77 rootkit. כדי לשמור על התגנבות והתמדה, ה-rootkit מעורפל ומאוחסן ברישום של Windows. לאחר מכן, הוא מופעל באמצעות PowerShell דרך מתזמן המשימות, ומחדיר את עצמו לתהליך "winlogon.exe".
באמצעות הזרקה זו, ה-r77 rootkit מציג את SeroXen RAT לזיכרון המערכת, מבטיח את נוכחותו הסמויה ומאפשר גישה מרחוק למכשיר שנפגע. לאחר השקת התוכנה הזדונית של גישה מרחוק, היא מייצרת תקשורת עם שרת פיקוד ובקרה, ממתינה לפקודות מהתוקפים.
ניתוח מגלה ש-SeroXen משתמשת באותה תעודת TLS כמו ה-Quasar RAT, והיא יורשת את רוב היכולות מהפרויקט המקורי. יכולות אלו כוללות תמיכה בזרמי רשת TCP, הסדרת רשת יעילה ודחיסת QuickLZ.
חוקרי אבטחת סייבר מזהירים שהפופולריות הגוברת של SeroXen עלולה להוביל לשינוי פוטנציאלי במיקוד ממיקוד לגיימרים למיקוד בארגונים גדולים יותר. כדי לסייע למגיני הרשת במאבק באיום זה, ארגונים צריכים לנקוט באמצעי זהירות מפני האיום. ישנם משאבים יקרי ערך לזיהוי והפחתת הנוכחות של SeroXen בתוך רשתות, המאפשרים למגינים לשפר את אמצעי אבטחת הסייבר שלהם ולהגן מפני התקפות אפשריות.
