SeroXen RAT
Komuniti penjenayah siber telah menggunakan Trojan Capaian Jauh (RAT) tersembunyi yang dinamakan 'SeroXen' kerana keupayaannya yang berkuasa dan keupayaan untuk mengelak pengesanan.
Menurut laporan daripada AT&T, perisian hasad itu dipasarkan secara menipu sebagai alat capaian jauh yang sah untuk Windows 11 dan 10. Ia ditawarkan dengan yuran langganan bulanan $15 atau bayaran lesen "seumur hidup" sekali sebanyak $60. Walaupun dipersembahkan sebagai alat yang sah, SeroXen sebenarnya sedang dinaikkan pangkat sebagai Trojan Akses Jauh di forum penggodaman. Identiti individu di sebalik promosi ini, sama ada mereka adalah pembangun sebenar atau penjual semula yang tidak bertanggungjawab, masih tidak pasti.
Isi kandungan
RAT SeroXen Mendapat Daya Tarik di kalangan Penjenayah Siber
Titik harga yang berpatutan bagi program akses jauh SeroXen telah menjadikannya boleh diakses oleh pelbagai pelaku ancaman. AT&T telah mengenal pasti banyak sampel SeroXen sejak kemunculannya pada September 2022, dan aktiviti yang mengelilinginya telah dipergiatkan baru-baru ini.
Walaupun sasaran utama SeroXen ialah individu dalam komuniti permainan, terdapat kebimbangan yang semakin meningkat bahawa apabila populariti alat itu berkembang, ia juga mungkin digunakan untuk menyasarkan entiti yang lebih besar, seperti syarikat dan organisasi terkemuka.
Populariti SeroXen yang semakin meningkat dalam kalangan penjenayah siber boleh dikaitkan dengan kadar pengesanan yang rendah dan keupayaannya yang kuat. Penyamarannya yang menipu sebagai Alat Akses Jauh yang sah telah menjadikannya pilihan yang menarik untuk pelakon ancaman. Untuk mengurangkan risiko yang berkaitan dengan Trojan Akses Jauh ini, adalah mustahak bagi individu dan organisasi untuk terus berwaspada dan melaksanakan langkah keselamatan yang teguh.
RAT SeroXen Dibangunkan daripada Pelbagai Projek Sumber Terbuka
SeroXen menggunakan beberapa projek sumber terbuka, termasuk Quasar RAT , rootkit r77 dan alat baris arahan NirCmd. Pembangun SeroXen telah bijak menggunakan gabungan sumber yang tersedia secara percuma ini untuk mencipta RAT yang mencabar untuk dikesan melalui analisis statik dan dinamik.
Quasar RAT, yang telah wujud selama hampir sedekad sejak dikeluarkan pada tahun 2014, berfungsi sebagai asas untuk RAT SeroXen. Ia menyediakan Alat Pentadbiran Jauh yang ringan dengan versi terkini, 1.41, yang menggabungkan ciri seperti proksi terbalik, cangkerang jauh, desktop jauh, komunikasi TLS dan sistem pengurusan fail. Ia boleh diakses secara terbuka di GitHub.
Untuk mengembangkan keupayaannya, SeroXen RAT menggunakan rootkit r77 (Ring 3). Rootkit sumber terbuka ini menawarkan kefungsian seperti kegigihan tanpa fail, penyambungan proses kanak-kanak, pembenaman perisian hasad, suntikan proses dalam ingatan dan pengelakan pengesanan anti-perisian hasad. SeroXen juga menyepadukan utiliti NirCmd. NirCmd ialah alat perisian percuma yang memudahkan tugas pengurusan mudah untuk sistem Windows dan persisian melalui pelaksanaan baris arahan.
Analisis Serangan RAT SeroXen
Pelbagai vektor serangan telah digunakan untuk mengedarkan SeroXen, termasuk e-mel pancingan data dan saluran Discord yang digunakan oleh penjenayah siber. Pelakon ini mengedarkan arkib ZIP yang mengandungi fail kelompok yang banyak dikelirukan.
Selepas pengekstrakan, fail kelompok menyahkod teks yang dikodkan base64 untuk mengekstrak dua binari. Perduaan ini kemudiannya dimuatkan ke dalam ingatan menggunakan pantulan .NET. Versi msconfig.exe yang diubah suai, yang diperlukan untuk melaksanakan perisian hasad, adalah satu-satunya fail yang berinteraksi dengan cakera. Ia disimpan sementara dalam direktori 'C:\Windows \System32V (perhatikan ruang tambahan), yang berumur pendek dan dipadamkan selepas proses pemasangan program.
Fail kelompok berfungsi sebagai kenderaan untuk menggunakan muatan 'InstallStager.exe', varian daripada rootkit r77. Untuk mengekalkan stealth dan ketekunan, rootkit dikaburkan dan disimpan dalam registri Windows. Selepas itu, ia diaktifkan menggunakan PowerShell melalui Penjadual Tugas, menyuntik dirinya ke dalam proses "winlogon.exe".
Melalui suntikan ini, rootkit r77 memperkenalkan RAT SeroXen ke dalam memori sistem, memastikan kehadirannya yang tersembunyi dan membolehkan akses jauh kepada peranti yang terjejas. Setelah perisian hasad akses jauh dilancarkan, ia mewujudkan komunikasi dengan pelayan Perintah dan Kawalan, menunggu arahan daripada penyerang.
Analisis mendedahkan bahawa SeroXen menggunakan sijil TLS yang sama seperti Quasar RAT, dan ia mewarisi sebahagian besar keupayaan daripada projek asal. Keupayaan ini merangkumi sokongan untuk aliran rangkaian TCP, siri rangkaian yang cekap dan pemampatan QuickLZ.
Penyelidik keselamatan siber memberi amaran bahawa peningkatan populariti SeroXen boleh membawa kepada potensi peralihan fokus daripada menyasarkan pemain kepada menyasarkan organisasi yang lebih besar. Untuk membantu pembela rangkaian dalam memerangi ancaman ini, organisasi harus mengambil langkah berjaga-jaga terhadap ancaman tersebut. Terdapat sumber yang berharga untuk mengenal pasti dan mengurangkan kehadiran SeroXen dalam rangkaian, membolehkan pembela meningkatkan langkah keselamatan siber mereka dan melindungi daripada kemungkinan serangan.
