SeroXen RAT

사이버 범죄 커뮤니티는 강력한 기능과 탐지 회피 능력으로 인해 'SeroXen'이라는 은밀한 RAT(Remote Access Trojan)를 채택했습니다.

AT&T의 보고서에 따르면 이 악성코드는 Windows 11 및 10용 합법적인 원격 액세스 도구로 기만적으로 판매되고 있습니다. 이 도구는 월 구독료 $15 또는 일회성 "평생" 라이센스 지불 $60로 제공됩니다. SeroXen은 합법적인 도구로 제시되지만 실제로는 해킹 포럼에서 원격 액세스 트로이 목마로 홍보되고 있습니다. 이러한 판촉 배후에 있는 개인의 신원은 실제 개발자인지 부도덕한 리셀러인지 불확실합니다.

SeroXen RAT는 사이버 범죄자들 사이에서 관심을 끌고 있습니다.

SeroXen 원격 액세스 프로그램의 저렴한 가격대로 인해 다양한 위협 행위자가 액세스할 수 있습니다. AT&T는 2022년 9월 등장한 이후 SeroXen의 수많은 샘플을 식별했으며 최근 이를 둘러싼 활동이 강화되었습니다.

SeroXen의 주요 목표는 게임 커뮤니티 내의 개인이었지만 도구의 인기가 높아짐에 따라 저명한 회사 및 조직과 같은 더 큰 조직을 목표로 삼을 수도 있다는 우려가 커지고 있습니다.

사이버 범죄자들 사이에서 SeroXen의 인기가 높아지는 것은 낮은 탐지율과 강력한 기능 때문일 수 있습니다. 합법적인 원격 액세스 도구라는 기만적인 위장은 위협 행위자에게 매력적인 선택이 되었습니다. 이 원격 액세스 트로이 목마와 관련된 위험을 완화하려면 개인과 조직이 경계를 유지하고 강력한 보안 조치를 구현하는 것이 필수적입니다.

SeroXen RAT는 다양한 오픈 소스 프로젝트에서 개발되었습니다.

SeroXen은 Quasar RAT , r77 루트킷 및 NirCmd 명령줄 도구를 비롯한 여러 오픈 소스 프로젝트를 사용합니다. SeroXen 개발자는 정적 및 동적 분석을 통해 감지하기 어려운 RAT를 생성하기 위해 무료로 사용할 수 있는 이러한 리소스의 조합을 영리하게 활용했습니다.

2014년 처음 출시된 이후 거의 10년 동안 존재해 온 Quasar RAT는 SeroXen RAT의 기반 역할을 합니다. 역방향 프록시, 원격 셸, 원격 데스크톱, TLS 통신 및 파일 관리 시스템과 같은 기능을 통합한 최신 버전 1.41의 경량 원격 관리 도구를 제공합니다. GitHub에서 공개적으로 액세스할 수 있습니다.

기능을 확장하기 위해 SeroXen RAT는 r77(Ring 3) 루트킷을 사용합니다. 이 오픈 소스 루트킷은 파일 없는 지속성, 하위 프로세스 후킹, 맬웨어 포함, 메모리 내 프로세스 삽입 및 맬웨어 방지 탐지 회피와 같은 기능을 제공합니다. SeroXen은 또한 NirCmd 유틸리티를 통합합니다. NirCmd는 명령줄 실행을 통해 Windows 시스템 및 주변 장치에 대한 간단한 관리 작업을 용이하게 하는 프리웨어 도구입니다.

SeroXen RAT의 공격 분석

사이버 범죄자들이 사용하는 피싱 이메일 및 Discord 채널을 포함하여 SeroXen을 배포하기 위해 다양한 공격 벡터가 사용되었습니다. 이러한 행위자는 심하게 난독화된 배치 파일이 포함된 ZIP 아카이브를 배포합니다.

추출 시 배치 파일은 base64로 인코딩된 텍스트를 디코딩하여 두 개의 바이너리를 추출합니다. 그런 다음 이러한 바이너리는 .NET 리플렉션을 사용하여 메모리에 로드됩니다. 맬웨어 실행에 필요한 수정된 버전의 msconfig.exe는 디스크와 상호 작용하는 유일한 파일입니다. 임시로 'C:\Windows\System32V 디렉토리(여분의 공간에 주의)에 저장되며 프로그램 설치 프로세스 후 단기적으로 삭제됩니다.

배치 파일은 r77 루트킷의 변종인 'InstallStager.exe' 페이로드를 배포하는 수단 역할을 합니다. 스텔스와 지속성을 유지하기 위해 루트킷은 난독화되어 Windows 레지스트리에 저장됩니다. 그런 다음 작업 스케줄러를 통해 PowerShell을 사용하여 활성화되어 "winlogon.exe" 프로세스에 자신을 주입합니다.

이 인젝션을 통해 r77 루트킷은 SeroXen RAT를 시스템 메모리에 도입하여 은밀한 존재를 보장하고 손상된 장치에 대한 원격 액세스를 가능하게 합니다. 원격 액세스 악성코드가 실행되면 명령 및 제어 서버와 통신을 설정하고 공격자의 명령을 기다립니다.

분석에 따르면 SeroXen은 Quasar RAT와 동일한 TLS 인증서를 사용하며 원래 프로젝트에서 대부분의 기능을 상속합니다. 이러한 기능에는 TCP 네트워크 스트림, 효율적인 네트워크 직렬화 및 QuickLZ 압축에 대한 지원이 포함됩니다.

사이버 보안 연구자들은 SeroXen의 인기가 높아짐에 따라 게이머 대상에서 대규모 조직 대상으로 초점이 이동할 가능성이 있다고 경고합니다. 네트워크 방어자가 이 위협에 대처하는 데 도움이 되도록 조직은 위협에 대한 예방 조치를 취해야 합니다. 방어자가 사이버 보안 조치를 강화하고 잠재적인 공격으로부터 보호할 수 있도록 네트워크 내에서 SeroXen의 존재를 식별하고 완화하기 위한 귀중한 리소스가 있습니다.