SeroXen RAT
Det nettkriminelle samfunnet har tatt i bruk en snikende Remote Access Trojan (RAT) kalt 'SeroXen' i økende grad på grunn av dens kraftige evner og evne til å unndra seg oppdagelse.
I følge rapporter fra AT&T blir skadevaren på villedende måte markedsført som et legitimt fjerntilgangsverktøy for Windows 11 og 10. Det tilbys for en månedlig abonnementsavgift på $15 eller en engangs "livstids" lisensbetaling på $60. Til tross for at det blir presentert som et legitimt verktøy, blir SeroXen faktisk promotert som en fjerntilgangstrojaner på hackingfora. Identiteten til personene bak disse kampanjene, enten de er faktiske utviklere eller skruppelløse forhandlere, er fortsatt usikre.
Innholdsfortegnelse
SeroXen RAT vinner gjennomslag blant nettkriminelle
Det rimelige prispunktet til SeroXen fjerntilgangsprogrammet har gjort det tilgjengelig for et bredt spekter av trusselaktører. AT&T har identifisert en rekke prøver av SeroXen siden fremveksten i september 2022, og aktiviteten rundt den har nylig blitt intensivert.
Mens de primære målene til SeroXen har vært individer innenfor spillfellesskapet, er det en økende bekymring for at etter hvert som verktøyets popularitet øker, kan det også brukes til å målrette mot større enheter, for eksempel fremtredende selskaper og organisasjoner.
Den økende populariteten til SeroXen blant nettkriminelle kan tilskrives dens lave oppdagelseshastighet og dens kraftige evner. Dens villedende form som et legitimt fjerntilgangsverktøy har gjort det til et attraktivt valg for trusselaktører. For å redusere risikoen forbundet med denne fjerntilgangstrojaneren, er det avgjørende for enkeltpersoner og organisasjoner å være årvåkne og implementere robuste sikkerhetstiltak.
SeroXen RAT er utviklet fra forskjellige åpen kildekode-prosjekter
SeroXen bygger på flere åpen kildekode-prosjekter, inkludert Quasar RAT , r77 rootkit og NirCmd kommandolinjeverktøy. SeroXen-utvikleren har smart utnyttet en kombinasjon av disse fritt tilgjengelige ressursene for å lage en RAT som er utfordrende å oppdage gjennom både statisk og dynamisk analyse.
Quasar RAT, som har eksistert i nesten et tiår siden den første utgivelsen i 2014, fungerer som grunnlaget for SeroXen RAT. Den gir et lett fjernadministrasjonsverktøy med den nyeste versjonen, 1.41, som inneholder funksjoner som omvendt proxy, eksternt skall, eksternt skrivebord, TLS-kommunikasjon og et filbehandlingssystem. Den er åpent tilgjengelig på GitHub.
For å utvide sine muligheter bruker SeroXen RAT r77 (Ring 3) rootkit. Dette rootsettet med åpen kildekode tilbyr funksjonalitet som filfri utholdenhet, hooking av underordnede prosesser, innebygging av skadelig programvare, injeksjon av prosesser i minnet og unndragelse av anti-malware-deteksjon. SeroXen integrerer også NirCmd-verktøyet. NirCmd er et gratisprogram som letter enkle administrasjonsoppgaver for Windows-systemer og periferiutstyr gjennom kommandolinjekjøring.
Analyse av SeroXen RATs angrep
Ulike angrepsvektorer har blitt brukt for å distribuere SeroXen, inkludert phishing-e-post og Discord-kanaler brukt av nettkriminelle. Disse aktørene distribuerer ZIP-arkiver som inneholder sterkt skjulte batchfiler.
Ved utvinning dekoder batchfilen en base64-kodet tekst for å trekke ut to binærfiler. Disse binære filene blir deretter lastet inn i minnet ved hjelp av .NET-refleksjon. Den modifiserte versjonen av msconfig.exe, nødvendig for å utføre skadelig programvare, er den eneste filen som samhandler med disken. Den er midlertidig lagret i 'C:\Windows \System32V-katalogen (legg merke til den ekstra plassen), som er kortvarig og slettet etter installasjonsprosessen for programmet.
Batchfilen fungerer som et kjøretøy for å distribuere 'InstallStager.exe' nyttelasten, en variant av r77 rootkit. For å opprettholde stealth og utholdenhet, er rootkitten tilslørt og lagret i Windows-registeret. Deretter aktiveres den ved hjelp av PowerShell gjennom Task Scheduler, og injiserer seg selv i "winlogon.exe"-prosessen.
Gjennom denne injeksjonen introduserer r77 rootkit SeroXen RAT i systemets minne, og sikrer dens skjulte tilstedeværelse og muliggjør ekstern tilgang til den kompromitterte enheten. Når den skadelige programvaren for ekstern tilgang er lansert, etablerer den kommunikasjon med en kommando- og kontrollserver, og venter på kommandoer fra angriperne.
Analyse avslører at SeroXen bruker det samme TLS-sertifikatet som Quasar RAT, og det arver de fleste egenskapene fra det opprinnelige prosjektet. Disse egenskapene omfatter støtte for TCP-nettverksstrømmer, effektiv nettverksserialisering og QuickLZ-komprimering.
Cybersikkerhetsforskere advarer om at den økende populariteten til SeroXen kan føre til et potensielt fokusskifte fra å målrette spillere til å målrette mot større organisasjoner. For å hjelpe nettverksforsvarere med å bekjempe denne trusselen, bør organisasjoner ta forholdsregler mot trusselen. Det er verdifulle ressurser for å identifisere og redusere tilstedeværelsen av SeroXen i nettverk, slik at forsvarere kan forbedre sine cybersikkerhetstiltak og beskytte mot potensielle angrep.
