SeroXen RAT
A kiberbűnözők közössége egyre gyakrabban alkalmazza a „SeroXen” névre keresztelt lopakodó Remote Access Trojan (RAT) nevű trójai programot, köszönhetően annak erőteljes képességeinek és az észlelést elkerülő képességének.
Az AT&T jelentései szerint a kártevőt megtévesztő módon legitim távoli hozzáférési eszközként forgalmazzák a Windows 11 és 10 rendszerekhez. 15 dolláros havi előfizetési díjért vagy egyszeri, 60 dolláros "élettartamra szóló" licencdíjért kínálják. Annak ellenére, hogy legitim eszközként mutatják be, a SeroXen-t valójában távoli hozzáférésű trójaiként reklámozzák a hacker fórumokon. Az ilyen promóciók mögött álló személyek kiléte, függetlenül attól, hogy tényleges fejlesztők vagy gátlástalan viszonteladók, továbbra is bizonytalan.
Tartalomjegyzék
A SeroXen RAT egyre nagyobb teret hódít a kiberbűnözők körében
A SeroXen távelérési program megfizethető árának köszönhetően a veszélyforrások széles köre számára elérhetővé tette. Az AT&T számos SeroXen mintát azonosított a 2022 szeptemberi megjelenése óta, és az ezzel kapcsolatos tevékenység az utóbbi időben felerősödött.
Míg a SeroXen elsődleges célpontjai a játékközösségen belüli egyének voltak, egyre nagyobb aggodalomra ad okot, hogy az eszköz népszerűségének növekedésével nagyobb szervezetek, például prominens cégek és szervezetek megcélzására is alkalmazható.
A SeroXen növekvő népszerűsége a kiberbűnözők körében alacsony észlelési arányának és erős képességeinek tudható be. Megtévesztő álcája legitim távelérési eszközként vonzó választássá tette a fenyegetések szereplői számára. Az ezzel a távelérési trójai programmal kapcsolatos kockázatok csökkentése érdekében elengedhetetlen, hogy az egyének és a szervezetek ébernek maradjanak, és szigorú biztonsági intézkedéseket hajtsanak végre.
A SeroXen RAT különféle nyílt forráskódú projektekből lett kifejlesztve
A SeroXen számos nyílt forráskódú projektre támaszkodik, beleértve a Quasar RAT-ot , az r77 rootkit-et és a NirCmd parancssori eszközt. A SeroXen fejlesztő ügyesen felhasználta ezeknek a szabadon elérhető erőforrásoknak a kombinációját, hogy olyan RAT-ot hozzon létre, amelyet statikus és dinamikus elemzéssel is nehéz észlelni.
A Quasar RAT, amely 2014-es megjelenése óta közel egy évtizede létezik, a SeroXen RAT alapjaként szolgál. Könnyű távfelügyeleti eszközt biztosít a legújabb, 1.41-es verzióval, amely olyan funkciókat tartalmaz, mint a fordított proxy, távoli shell, távoli asztal, TLS kommunikáció és fájlkezelő rendszer. Nyíltan elérhető a GitHubon.
Képességeinek bővítése érdekében a SeroXen RAT az r77 (Ring 3) rootkitet használja. Ez a nyílt forráskódú rootkit olyan funkciókat kínál, mint például a fájl nélküli kitartás, a gyermekfolyamatok összekapcsolása, a rosszindulatú programok beágyazása, a memóriába való folyamatinjektálás és a rosszindulatú programok észlelésének elkerülése. A SeroXen a NirCmd segédprogramot is integrálja. A NirCmd egy ingyenes eszköz, amely egyszerű kezelési feladatokat tesz lehetővé Windows rendszereken és perifériákon a parancssori végrehajtáson keresztül.
A SeroXen RAT támadásainak elemzése
Különféle támadási vektorokat alkalmaztak a SeroXen terjesztésére, beleértve az adathalász e-maileket és a kiberbűnözők által használt Discord-csatornákat. Ezek a szereplők erősen homályos kötegfájlokat tartalmazó ZIP archívumokat terjesztenek.
Kibontáskor a kötegfájl dekódol egy base64 kódolású szöveget két bináris kinyeréséhez. Ezek a binárisok ezután betöltődnek a memóriába a .NET tükrözés segítségével. A rosszindulatú program végrehajtásához szükséges msconfig.exe módosított verziója az egyetlen fájl, amely interakcióba lép a lemezzel. Ideiglenesen a 'C:\Windows \System32V könyvtárban tárolódik (figyelje meg a többletterületet), amely rövid életű, és a program telepítése után törlődik.
A kötegfájl eszközként szolgál az „InstallStager.exe” rakomány, az r77 rootkit egyik változatának telepítéséhez. A lopakodás és a kitartás megőrzése érdekében a rootkitet homályosítja, és a Windows rendszerleíró adatbázisában tárolja. Ezt követően a PowerShell segítségével aktiválódik a Feladatütemezőn keresztül, és beilleszti magát a "winlogon.exe" folyamatba.
Ezzel az injekcióval az r77 rootkit bevezeti a SeroXen RAT-ot a rendszer memóriájába, biztosítva annak rejtett jelenlétét és lehetővé téve a távoli hozzáférést a feltört eszközhöz. A távoli hozzáférésű rosszindulatú program elindítása után kommunikációt létesít a Command and Control szerverrel, és várja a támadók parancsait.
Az elemzés kimutatta, hogy a SeroXen ugyanazt a TLS-tanúsítványt használja, mint a Quasar RAT, és a legtöbb képességet az eredeti projekttől örökli. Ezek a képességek magukban foglalják a TCP hálózati adatfolyamok támogatását, a hatékony hálózati sorosítást és a QuickLZ-tömörítést.
A kiberbiztonsággal foglalkozó kutatók arra figyelmeztetnek, hogy a SeroXen növekvő népszerűsége a játékosok megcélzásáról a nagyobb szervezetekre irányuló potenciális eltolódáshoz vezethet. A szervezeteknek óvintézkedéseket kell tenniük a fenyegetés elleni küzdelemben, hogy segítsék a hálózat védelmezőit. Értékes források állnak rendelkezésre a SeroXen hálózatokon belüli jelenlétének azonosításához és mérsékléséhez, lehetővé téve a védők számára, hogy fokozzák kiberbiztonsági intézkedéseiket, és védekezzenek a potenciális támadások ellen.
