SeroXen RAT

साइबर क्रिमिनल कम्युनिटी ने अपनी शक्तिशाली क्षमताओं और पहचान से बचने की क्षमता के कारण तेजी से 'सेरोक्सेन' नामक एक चोरी-छिपे रिमोट एक्सेस ट्रोजन (RAT) को अपनाया है।

एटी एंड टी की रिपोर्टों के मुताबिक, मैलवेयर को विंडोज 11 और 10 के लिए वैध रिमोट एक्सेस टूल के रूप में भ्रामक रूप से विपणन किया जा रहा है। यह $ 15 के मासिक सदस्यता शुल्क या $ 60 के एक बार "आजीवन" लाइसेंस भुगतान के लिए पेश किया जाता है। एक वैध उपकरण के रूप में प्रस्तुत किए जाने के बावजूद, सेरोक्सेन को वास्तव में हैकिंग मंचों पर रिमोट एक्सेस ट्रोजन के रूप में प्रचारित किया जा रहा है। इन प्रचारों के पीछे व्यक्तियों की पहचान, चाहे वे वास्तविक डेवलपर हों या बेईमान पुनर्विक्रेता, अनिश्चित रहते हैं।

SeroXen RAT साइबर अपराधियों के बीच लोकप्रिय हो रहा है

Seroxen रिमोट एक्सेस प्रोग्राम के किफायती मूल्य बिंदु ने इसे खतरे के अभिनेताओं की एक विस्तृत श्रृंखला के लिए सुलभ बना दिया है। एटीएंडटी ने सितंबर 2022 में इसके उद्भव के बाद से सेरोक्सेन के कई नमूनों की पहचान की है, और इसके आसपास की गतिविधि हाल ही में तेज हो गई है।

जबकि SeroXen के प्राथमिक लक्ष्य गेमिंग समुदाय के भीतर के व्यक्ति रहे हैं, इस बात की चिंता बढ़ रही है कि जैसे-जैसे टूल की लोकप्रियता बढ़ती है, इसे बड़ी संस्थाओं, जैसे प्रमुख कंपनियों और संगठनों को लक्षित करने के लिए भी नियोजित किया जा सकता है।

साइबर अपराधियों के बीच सेरोक्सेन की बढ़ती लोकप्रियता को इसकी कम पहचान दर और इसकी शक्तिशाली क्षमताओं के लिए जिम्मेदार ठहराया जा सकता है। एक वैध रिमोट एक्सेस टूल के रूप में इसकी भ्रामक आड़ ने इसे खतरे के अभिनेताओं के लिए एक आकर्षक विकल्प बना दिया है। इस रिमोट एक्सेस ट्रोजन से जुड़े जोखिमों को कम करने के लिए, व्यक्तियों और संगठनों के लिए सतर्क रहना और मजबूत सुरक्षा उपायों को लागू करना अनिवार्य है।

SeroXen RAT को विभिन्न ओपन-सोर्स प्रोजेक्ट्स से विकसित किया गया है

SeroXen कई ओपन-सोर्स प्रोजेक्ट्स पर काम करता है, जिसमें Quasar RAT , r77 रूटकिट और NirCmd कमांड लाइन टूल शामिल हैं। SeroXen डेवलपर ने RAT बनाने के लिए इन स्वतंत्र रूप से उपलब्ध संसाधनों के संयोजन का चतुराई से उपयोग किया है जो स्थिर और गतिशील विश्लेषण दोनों के माध्यम से पता लगाना चुनौतीपूर्ण है।

क्वासर आरएटी, जो 2014 में अपनी प्रारंभिक रिलीज के बाद से लगभग एक दशक से अस्तित्व में है, सेरोक्सेन आरएटी की नींव के रूप में कार्य करता है। यह नवीनतम संस्करण 1.41 के साथ एक हल्का रिमोट एडमिनिस्ट्रेशन टूल प्रदान करता है, जिसमें रिवर्स प्रॉक्सी, रिमोट शेल, रिमोट डेस्कटॉप, टीएलएस संचार और एक फ़ाइल प्रबंधन प्रणाली जैसी सुविधाएँ शामिल हैं। यह GitHub पर खुले तौर पर उपलब्ध है।

अपनी क्षमताओं का विस्तार करने के लिए, SeroXen RAT r77 (Ring 3) रूटकिट का उपयोग करता है। यह ओपन-सोर्स रूटकिट फाइल-लेस पर्सिस्टेंस, चाइल्ड प्रोसेस की हुकिंग, मालवेयर एम्बेडिंग, इन-मेमोरी प्रोसेस इंजेक्शन, और एंटी-मैलवेयर डिटेक्शन से बचाव जैसी कार्यक्षमता प्रदान करता है। SeroXen NirCmd उपयोगिता को भी एकीकृत करता है। NirCmd एक फ्रीवेयर टूल है जो कमांड-लाइन निष्पादन के माध्यम से विंडोज सिस्टम और बाह्य उपकरणों के लिए सरल प्रबंधन कार्यों की सुविधा प्रदान करता है।

सेरोक्सेन आरएटी के हमलों का विश्लेषण

साइबर अपराधियों द्वारा उपयोग किए जाने वाले फ़िशिंग ईमेल और डिस्कॉर्ड चैनल सहित सेरोक्सेन को वितरित करने के लिए विभिन्न हमलावर वैक्टरों को नियोजित किया गया है। ये अभिनेता भारी अस्पष्ट बैच फ़ाइलों वाले ज़िप संग्रह वितरित करते हैं।

निष्कर्षण पर, बैच फ़ाइल दो बायनेरिज़ निकालने के लिए बेस 64 एन्कोडेड टेक्स्ट को डीकोड करती है। इन बायनेरिज़ को फिर .NET प्रतिबिंब का उपयोग करके मेमोरी में लोड किया जाता है। मैलवेयर के निष्पादन के लिए आवश्यक msconfig.exe का संशोधित संस्करण, एकमात्र फ़ाइल है जो डिस्क के साथ इंटरैक्ट करती है। यह अस्थायी रूप से 'C:\Windows \System32V निर्देशिका (अतिरिक्त स्थान पर ध्यान दें) में संग्रहीत है, जो अल्पकालिक है और प्रोग्राम स्थापना प्रक्रिया के बाद हटा दिया गया है।

बैच फ़ाइल 'InstallStager.exe' पेलोड, r77 रूटकिट के एक संस्करण को तैनात करने के लिए एक वाहन के रूप में कार्य करती है। चुपके और दृढ़ता बनाए रखने के लिए, रूटकिट को विंडोज रजिस्ट्री में अस्पष्ट और संग्रहीत किया जाता है। इसके बाद, यह टास्क शेड्यूलर के माध्यम से पॉवरशेल का उपयोग करके सक्रिय हो जाता है, खुद को "winlogon.exe" प्रक्रिया में इंजेक्ट करता है।

इस इंजेक्शन के माध्यम से, r77 रूटकिट SeroXen RAT को सिस्टम की मेमोरी में पेश करता है, इसकी गुप्त उपस्थिति सुनिश्चित करता है और समझौता किए गए डिवाइस तक रिमोट एक्सेस को सक्षम करता है। एक बार रिमोट एक्सेस मालवेयर लॉन्च हो जाने के बाद, यह कमांड एंड कंट्रोल सर्वर के साथ संचार स्थापित करता है, हमलावरों से कमांड का इंतजार करता है।

विश्लेषण से पता चलता है कि सेरोक्सेन क्वासर आरएटी के समान टीएलएस प्रमाणपत्र का उपयोग करता है, और यह मूल परियोजना से अधिकांश क्षमताओं को प्राप्त करता है। इन क्षमताओं में टीसीपी नेटवर्क स्ट्रीम, कुशल नेटवर्क क्रमांकन और क्विकएलजेड संपीड़न के लिए समर्थन शामिल है।

साइबर सुरक्षा शोधकर्ताओं ने चेतावनी दी है कि सेरोक्सेन की बढ़ती लोकप्रियता गेमर्स को लक्षित करने से बड़े संगठनों को लक्षित करने के लिए संभावित बदलाव का कारण बन सकती है। इस खतरे से निपटने में नेटवर्क रक्षकों की सहायता के लिए, संगठनों को खतरे के प्रति सावधानी बरतनी चाहिए। नेटवर्क के भीतर सेरोक्सेन की उपस्थिति को पहचानने और कम करने के लिए मूल्यवान संसाधन हैं, जो रक्षकों को अपने साइबर सुरक्षा उपायों को बढ़ाने और संभावित हमलों से बचाने में सक्षम बनाता है।