SeroXen RAT
Kibernetinių nusikaltėlių bendruomenė vis dažniau naudoja slaptą nuotolinės prieigos Trojos arklys (RAT), pavadintą „SeroXen“, dėl jo galingų galimybių ir galimybės išvengti aptikimo.
Remiantis AT&T ataskaitomis, kenkėjiška programa apgaulingai parduodama kaip teisėtas nuotolinės prieigos įrankis, skirtas Windows 11 ir 10. Ji siūloma už 15 USD mėnesinį prenumeratos mokestį arba vienkartinį 60 USD „visą gyvenimą trunkantį“ licencijos mokėjimą. Nepaisant to, kad SeroXen pristatomas kaip teisėtas įrankis, įsilaužimo forumuose jis reklamuojamas kaip nuotolinės prieigos Trojos arklys. Asmenų, už šių reklamų, tapatybės, nesvarbu, ar jie yra tikrieji kūrėjai, ar nesąžiningi perpardavėjai, lieka neaiški.
Turinys
SeroXen RAT įgauna trauką tarp kibernetinių nusikaltėlių
Dėl prieinamos „SeroXen“ nuotolinės prieigos programos kainos ji tapo prieinama įvairiems grėsmės subjektams. AT&T nustatė daugybę SeroXen pavyzdžių nuo tada, kai jis pasirodė 2022 m. rugsėjo mėn., o su juo susijusi veikla pastaruoju metu suaktyvėjo.
Nors pagrindiniai „SeroXen“ taikiniai buvo žaidimų bendruomenės asmenys, didėja susirūpinimas, kad, plečiantis įrankio populiarumui, jis taip pat gali būti naudojamas didesniems subjektams, pavyzdžiui, žinomoms įmonėms ir organizacijoms.
Didėjantis SeroXen populiarumas tarp kibernetinių nusikaltėlių gali būti siejamas su mažu aptikimo rodikliu ir galingomis galimybėmis. Dėl apgaulingo jo, kaip teisėto nuotolinės prieigos įrankio, priedanga jis tapo patraukliu pasirinkimu grėsmės veikėjams. Siekiant sumažinti riziką, susijusią su šiuo nuotolinės prieigos Trojos arklys, asmenys ir organizacijos turi išlikti budrūs ir įgyvendinti patikimas saugos priemones.
SeroXen RAT yra sukurtas iš įvairių atvirojo kodo projektų
SeroXen remiasi keliais atvirojo kodo projektais, įskaitant Quasar RAT , r77 rootkit ir NirCmd komandinės eilutės įrankį. SeroXen kūrėjas sumaniai panaudojo šių laisvai prieinamų išteklių derinį, kad sukurtų RAT, kurį sunku aptikti atliekant statinę ir dinaminę analizę.
„Quasar RAT“, gyvuojantis beveik dešimtmetį nuo pirminio išleidimo 2014 m., yra „SeroXen RAT“ pagrindas. Tai lengvas nuotolinio administravimo įrankis su naujausia 1.41 versija, apimantis tokias funkcijas kaip atvirkštinis tarpinis serveris, nuotolinis apvalkalas, nuotolinis darbalaukis, TLS ryšys ir failų valdymo sistema. Jis yra atvirai prieinamas GitHub.
Norėdami išplėsti savo galimybes, SeroXen RAT naudoja r77 (Ring 3) rootkit. Šis atvirojo kodo šakninis rinkinys siūlo tokias funkcijas kaip atkaklumas be failų, antrinių procesų įtraukimas, kenkėjiškų programų įterpimas, proceso įterpimas į atmintį ir apsaugos nuo kenkėjiškų programų aptikimo vengimas. SeroXen taip pat integruoja NirCmd įrankį. NirCmd yra nemokama programa, kuri palengvina paprastas Windows sistemų ir išorinių įrenginių valdymo užduotis vykdant komandų eilutę.
SeroXen RAT atakų analizė
„SeroXen“ platinti buvo naudojami įvairūs atakų vektoriai, įskaitant sukčiavimo el. laiškus ir „Discord“ kanalus, kuriuos naudoja kibernetiniai nusikaltėliai. Šie veikėjai platina ZIP archyvus, kuriuose yra labai užmaskuoti paketiniai failai.
Išskleidimo metu paketinis failas dekoduoja base64 koduotą tekstą, kad išskirtų du dvejetainius failus. Tada šie dvejetainiai failai įkeliami į atmintį naudojant .NET atspindį. Modifikuota msconfig.exe versija, reikalinga kenkėjiškajai programai vykdyti, yra vienintelis failas, kuris sąveikauja su disku. Jis laikinai saugomas kataloge 'C:\Windows \System32V (atkreipkite dėmesį į papildomą vietą), kuris yra trumpalaikis ir ištrinamas įdiegus programą.
Paketinis failas naudojamas kaip priemonė diegti „InstallStager.exe“ naudingąjį apkrovą, r77 rootkit variantą. Siekiant išlaikyti slaptumą ir atkaklumą, rootkit yra užtemdytas ir saugomas „Windows“ registre. Vėliau jis suaktyvinamas naudojant „PowerShell“ per užduočių planuoklį, įterpiant save į „winlogon.exe“ procesą.
Per šią injekciją r77 rootkit įveda SeroXen RAT į sistemos atmintį, užtikrindamas slaptą jo buvimą ir įgalindamas nuotolinę prieigą prie pažeisto įrenginio. Kai nuotolinės prieigos kenkėjiška programa paleidžiama, ji užmezga ryšį su komandų ir valdymo serveriu ir laukia užpuolikų komandų.
Analizė atskleidžia, kad SeroXen naudoja tą patį TLS sertifikatą kaip ir Quasar RAT, ir jis paveldi didžiąją dalį pirminio projekto galimybių. Šios galimybės apima TCP tinklo srautų palaikymą, efektyvų tinklo serializavimą ir QuickLZ glaudinimą.
Kibernetinio saugumo tyrėjai perspėja, kad didėjantis SeroXen populiarumas gali paskatinti dėmesį nukreipti nuo orientavimosi į žaidėjus prie didesnių organizacijų. Siekdamos padėti tinklo gynėjams kovoti su šia grėsme, organizacijos turėtų imtis atsargumo priemonių prieš grėsmę. Yra vertingų išteklių, leidžiančių nustatyti ir sumažinti SeroXen buvimą tinkluose, todėl gynėjai gali sustiprinti savo kibernetinio saugumo priemones ir apsisaugoti nuo galimų atakų.
