SeroXen RAT
Zajednica kibernetičkog kriminala sve je više prihvatila skriveni trojanac za udaljeni pristup (RAT) pod nazivom 'SeroXen' zbog njegovih snažnih mogućnosti i sposobnosti izbjegavanja otkrivanja.
Prema izvješćima AT&T-a, zlonamjerni se softver lažno reklamira kao legitiman alat za daljinski pristup za Windows 11 i 10. Nudi se uz mjesečnu pretplatu od 15 USD ili jednokratno plaćanje "doživotne" licence od 60 USD. Unatoč tome što je predstavljen kao legitiman alat, SeroXen se zapravo promovira kao Trojanac za daljinski pristup na hakerskim forumima. Identitet pojedinaca koji stoje iza ovih promocija, bilo da su stvarni programeri ili beskrupulozni preprodavači, ostaje neizvjestan.
Sadržaj
SeroXen RAT postaje sve popularniji među kibernetičkim kriminalcima
Pristupačna cijena SeroXen programa za daljinski pristup učinila ga je dostupnim širokom rasponu aktera prijetnji. AT&T je identificirao brojne uzorke SeroXena od njegovog pojavljivanja u rujnu 2022., a aktivnost oko njega nedavno se intenzivirala.
Dok su primarne mete SeroXena bili pojedinci unutar zajednice igrača, raste zabrinutost da bi se, kako se popularnost alata širi, mogao koristiti i za ciljanje većih entiteta, kao što su istaknute tvrtke i organizacije.
Rastuća popularnost SeroXena među kibernetičkim kriminalcima može se pripisati njegovim niskim stopama otkrivanja i moćnim sposobnostima. Njegova varljiva maska kao legitimnog alata za daljinski pristup učinila ga je privlačnim izborom za aktere prijetnji. Kako bi se ublažili rizici povezani s ovim trojancem s udaljenim pristupom, pojedincima i organizacijama je imperativ da ostanu na oprezu i provedu snažne sigurnosne mjere.
SeroXen RAT je razvijen iz različitih projekata otvorenog koda
SeroXen se oslanja na nekoliko projekata otvorenog koda, uključujući Quasar RAT , r77 rootkit i NirCmd alat naredbenog retka. Programer SeroXena pametno je iskoristio kombinaciju ovih slobodno dostupnih resursa kako bi stvorio RAT kojeg je teško detektirati kroz statičku i dinamičku analizu.
Quasar RAT, koji postoji već gotovo desetljeće od svog prvog izdanja 2014., služi kao temelj za SeroXen RAT. Omogućuje lagani alat za udaljenu administraciju s najnovijom verzijom, 1.41, koja uključuje značajke kao što su obrnuti proxy, udaljena ljuska, udaljena radna površina, TLS komunikacija i sustav za upravljanje datotekama. Otvoreno je dostupan na GitHubu.
Kako bi proširio svoje mogućnosti, SeroXen RAT koristi rootkit r77 (Ring 3). Ovaj open-source rootkit nudi funkcionalnost kao što je postojanost bez datoteka, spajanje podređenih procesa, ugrađivanje zlonamjernog softvera, ubacivanje procesa u memoriju i izbjegavanje detekcije zlonamjernog softvera. SeroXen također integrira uslužni program NirCmd. NirCmd je besplatni alat koji olakšava jednostavne zadatke upravljanja za Windows sustave i periferne uređaje putem izvršavanja naredbenog retka.
Analiza napada SeroXen RAT-a
Za distribuciju SeroXena korišteni su različiti vektori napada, uključujući phishing e-poštu i Discord kanale koje koriste kibernetički kriminalci. Ovi akteri distribuiraju ZIP arhive koje sadrže jako zamagljene batch datoteke.
Nakon izdvajanja, paketna datoteka dekodira base64 kodirani tekst kako bi izdvojila dvije binarne datoteke. Te se binarne datoteke zatim učitavaju u memoriju pomoću .NET refleksije. Modificirana verzija msconfig.exe, neophodna za pokretanje zlonamjernog softvera, jedina je datoteka koja komunicira s diskom. Privremeno je pohranjen u direktoriju 'C:\Windows \System32V (primijetite dodatni prostor), koji je kratkog vijeka i briše se nakon postupka instalacije programa.
Skupna datoteka služi kao sredstvo za implementaciju korisnog opterećenja 'InstallStager.exe', varijante r77 rootkita. Kako bi se održala skrivenost i postojanost, rootkit je prikriven i pohranjen u registru sustava Windows. Nakon toga se aktivira pomoću PowerShell-a kroz Task Scheduler, ubacujući se u proces "winlogon.exe".
Kroz ovu injekciju, r77 rootkit uvodi SeroXen RAT u memoriju sustava, osiguravajući njegovu tajnu prisutnost i omogućavajući udaljeni pristup kompromitiranom uređaju. Nakon što se zlonamjerni softver s daljinskim pristupom pokrene, uspostavlja komunikaciju s poslužiteljem za upravljanje i kontrolu, čekajući naredbe od napadača.
Analiza otkriva da SeroXen koristi isti TLS certifikat kao Quasar RAT i nasljeđuje većinu mogućnosti iz izvornog projekta. Ove mogućnosti obuhvaćaju podršku za TCP mrežne tokove, učinkovitu mrežnu serijalizaciju i QuickLZ kompresiju.
Istraživači kibernetičke sigurnosti upozoravaju da bi sve veća popularnost SeroXena mogla dovesti do potencijalnog pomaka fokusa s ciljanja na igrače na ciljanje na veće organizacije. Kako bi pomogli mrežnim braniteljima u borbi protiv ove prijetnje, organizacije bi trebale poduzeti mjere opreza protiv prijetnje. Postoje vrijedni resursi za prepoznavanje i ublažavanje prisutnosti SeroXena unutar mreža, omogućujući braniteljima da poboljšaju svoje mjere kibernetičke sigurnosti i zaštite od potencijalnih napada.
