SeroXen RAT
Kibernoziedznieku kopiena arvien vairāk ir pieņēmusi slēptu attālās piekļuves Trojas zirgu (RAT), ko sauc par SeroXen, pateicoties tā jaudīgajām iespējām un spējai izvairīties no atklāšanas.
Saskaņā ar AT&T ziņojumiem ļaunprogrammatūra tiek maldinoši tirgota kā likumīgs attālās piekļuves rīks operētājsistēmām Windows 11 un 10. Tā tiek piedāvāta par ikmēneša abonēšanas maksu 15 ASV dolāru apmērā vai vienreizēju "mūža" licences maksājumu 60 ASV dolāru apmērā. Neskatoties uz to, ka SeroXen tiek piedāvāts kā likumīgs rīks, uzlaušanas forumos tas faktiski tiek reklamēts kā attālās piekļuves Trojas zirgs. To personu identitāte, kuras ir aiz šiem veicināšanas pasākumiem, neatkarīgi no tā, vai tās ir faktiskie izstrādātāji vai negodīgi tālākpārdevēji, joprojām nav skaidras.
Satura rādītājs
SeroXen RAT iekaro kibernoziedzniekus
SeroXen attālās piekļuves programmas pieejamā cena ir padarījusi to pieejamu plašam apdraudējuma dalībnieku lokam. AT&T ir identificējis daudzus SeroXen paraugus kopš tā parādīšanās 2022. gada septembrī, un ar to saistītā darbība pēdējā laikā ir pastiprinājusies.
Lai gan SeroXen primārie mērķi ir bijuši indivīdi spēļu kopienā, pieaug bažas par to, ka, pieaugot rīka popularitātei, to var izmantot arī lielākām organizācijām, piemēram, ievērojamiem uzņēmumiem un organizācijām.
SeroXen pieaugošo popularitāti kibernoziedznieku vidū var saistīt ar tā zemo atklāšanas līmeni un tā spēcīgajām iespējām. Tā maldinošais aizsegs kā likumīgs attālās piekļuves rīks ir padarījis to par pievilcīgu izvēli draudu dalībniekiem. Lai mazinātu ar šo attālās piekļuves Trojas zirgu saistītos riskus, privātpersonām un organizācijām ir obligāti jāsaglabā modrība un jāīsteno stingri drošības pasākumi.
SeroXen RAT ir izstrādāts no dažādiem atvērtā pirmkoda projektiem
SeroXen izmanto vairākus atvērtā pirmkoda projektus, tostarp Quasar RAT , r77 rootkit un NirCmd komandrindas rīku. SeroXen izstrādātājs ir gudri izmantojis šo brīvi pieejamo resursu kombināciju, lai izveidotu RAT, kuru ir grūti noteikt, izmantojot gan statisko, gan dinamisko analīzi.
Quasar RAT, kas pastāv jau gandrīz desmit gadus kopš sākotnējās izlaišanas 2014. gadā, kalpo par SeroXen RAT pamatu. Tas nodrošina vieglu attālās administrēšanas rīku ar jaunāko versiju 1.41, kas ietver tādas funkcijas kā reversais starpniekserveris, attālais apvalks, attālā darbvirsma, TLS komunikācija un failu pārvaldības sistēma. Tas ir atklāti pieejams vietnē GitHub.
Lai paplašinātu savas iespējas, SeroXen RAT izmanto r77 (Ring 3) rootkit. Šis atvērtā pirmkoda saknes komplekts piedāvā tādas funkcijas kā noturība bez failiem, bērnu procesu piesaistīšana, ļaunprātīgas programmatūras iegulšana, procesa ievadīšana atmiņā un izvairīšanās no ļaunprātīgas programmatūras noteikšanas. SeroXen integrē arī NirCmd utilītu. NirCmd ir bezmaksas programmatūras rīks, kas atvieglo vienkāršus pārvaldības uzdevumus Windows sistēmām un perifērijas ierīcēm, izmantojot komandrindas izpildi.
SeroXen RAT uzbrukumu analīze
SeroXen izplatīšanai ir izmantoti dažādi uzbrukuma vektori, tostarp pikšķerēšanas e-pasti un Discord kanāli, ko izmanto kibernoziedznieki. Šie dalībnieki izplata ZIP arhīvus, kuros ir ļoti neskaidri pakešfaili.
Pēc ekstrakcijas sērijveida fails dekodē base64 kodētu tekstu, lai iegūtu divus bināros failus. Pēc tam šie binārie faili tiek ielādēti atmiņā, izmantojot .NET atspoguļojumu. Modificētā msconfig.exe versija, kas nepieciešama ļaunprātīgas programmatūras izpildei, ir vienīgais fails, kas mijiedarbojas ar disku. Tas īslaicīgi tiek saglabāts direktorijā 'C:\Windows \System32V (ievērojiet papildu vietu), kas ir īslaicīgs un tiek izdzēsts pēc programmas instalēšanas procesa.
Pakešfails kalpo kā līdzeklis “InstallStager.exe” lietderīgās slodzes izvietošanai, kas ir r77 saknes komplekta variants. Lai saglabātu slepenību un noturību, sakņu komplekts tiek apslēpts un saglabāts Windows reģistrā. Pēc tam tas tiek aktivizēts, izmantojot PowerShell, izmantojot uzdevumu plānotāju, ievadot sevi "winlogon.exe" procesā.
Ar šīs injekcijas palīdzību r77 rootkit ievada SeroXen RAT sistēmas atmiņā, nodrošinot tā slēptu klātbūtni un ļaujot attālināti piekļūt apdraudētajai ierīcei. Kad attālās piekļuves ļaunprogrammatūra ir palaista, tā izveido saziņu ar komandu un vadības serveri, gaidot komandas no uzbrucējiem.
Analīze atklāj, ka SeroXen izmanto to pašu TLS sertifikātu kā Quasar RAT, un tas pārmanto lielāko daļu sākotnējā projekta iespēju. Šīs iespējas ietver atbalstu TCP tīkla straumēm, efektīvu tīkla serializāciju un QuickLZ saspiešanu.
Kiberdrošības pētnieki brīdina, ka SeroXen pieaugošā popularitāte var izraisīt iespējamu fokusa pāreju no spēlētāju mērķauditorijas uz lielākām organizācijām. Lai palīdzētu tīkla aizstāvjiem cīnīties pret šiem draudiem, organizācijām jāveic piesardzības pasākumi pret draudiem. Ir vērtīgi resursi, lai identificētu un mazinātu SeroXen klātbūtni tīklos, ļaujot aizstāvjiem uzlabot savus kiberdrošības pasākumus un aizsargāt pret iespējamiem uzbrukumiem.
