SeroXen RAT
साइबर क्रिमिनल समुदायले यसको शक्तिशाली क्षमता र पत्ता लगाउनबाट बच्ने क्षमताको कारण बढ्दो रूपमा 'SeroXen' नामको स्टिल्थी रिमोट एक्सेस ट्रोजन (RAT) अपनाएको छ।
AT&T को रिपोर्टहरू अनुसार, मालवेयरलाई Windows 11 र 10 को लागि वैध रिमोट पहुँच उपकरणको रूपमा भ्रामक रूपमा मार्केटिङ गरिएको छ। यो $ 15 को मासिक सदस्यता शुल्क वा $ 60 को एक पटक "जीवनभर" लाइसेन्स भुक्तानीको लागि प्रस्ताव गरिएको छ। एक वैध उपकरणको रूपमा प्रस्तुत गरिए पनि, SeroXen वास्तवमा ह्याकिंग फोरमहरूमा रिमोट एक्सेस ट्रोजनको रूपमा प्रचार गरिएको छ। यी पदोन्नतिहरू पछाडि व्यक्तिहरूको पहिचान, चाहे तिनीहरू वास्तविक विकासकर्ताहरू हुन् वा बेईमान पुनर्विक्रेताहरू, अनिश्चित रहन्छन्।
सामग्रीको तालिका
SeroXen RAT साइबर अपराधीहरू बीच ट्र्याक्शन प्राप्त गर्दैछ
SeroXen रिमोट पहुँच कार्यक्रमको किफायती मूल्य बिन्दुले यसलाई खतरा अभिनेताहरूको विस्तृत श्रृंखलामा पहुँचयोग्य बनाएको छ। AT&T ले सेप्टेम्बर 2022 मा यसको उद्भव पछि SeroXen को धेरै नमूनाहरू पहिचान गरेको छ, र यसको वरपरको गतिविधि हालै तीव्र भएको छ।
जबकि SeroXen को प्राथमिक लक्ष्यहरू गेमिङ समुदाय भित्रका व्यक्तिहरू भएका छन्, त्यहाँ बढ्दो चिन्ता छ कि उपकरणको लोकप्रियता विस्तार हुँदै जाँदा, यसलाई प्रमुख कम्पनीहरू र संस्थाहरू जस्ता ठूला संस्थाहरूलाई लक्षित गर्न पनि प्रयोग गर्न सकिन्छ।
साइबर अपराधीहरू बीच SeroXen को बढ्दो लोकप्रियता यसको कम पत्ता लगाउने दर र यसको शक्तिशाली क्षमताहरूलाई श्रेय दिन सकिन्छ। वैध रिमोट पहुँच उपकरणको रूपमा यसको भ्रामक आडले यसलाई खतरा अभिनेताहरूको लागि आकर्षक विकल्प बनाएको छ। यस रिमोट एक्सेस ट्रोजनसँग सम्बन्धित जोखिमहरूलाई कम गर्न, व्यक्ति र संस्थाहरू सतर्क रहनु र बलियो सुरक्षा उपायहरू लागू गर्न अनिवार्य छ।
SeroXen RAT विभिन्न खुला स्रोत परियोजनाहरूबाट विकसित गरिएको हो
SeroXen ले Quasar RAT , r77 rootkit, र NirCmd कमाण्ड लाइन उपकरण सहित धेरै खुला स्रोत परियोजनाहरू आकर्षित गर्दछ। SeroXen विकासकर्ताले चलाखीपूर्वक यी स्वतन्त्र रूपमा उपलब्ध स्रोतहरूको संयोजन प्रयोग गरी एक RAT सिर्जना गरेको छ जुन स्थिर र गतिशील विश्लेषण दुवै मार्फत पत्ता लगाउन चुनौतीपूर्ण छ।
Quasar RAT, जुन 2014 मा यसको प्रारम्भिक रिलीज पछि लगभग एक दशक देखि अस्तित्वमा छ, SeroXen RAT को लागि आधार को रूप मा काम गर्दछ। यसले रिभर्स प्रोक्सी, रिमोट शेल, रिमोट डेस्कटप, TLS कम्युनिकेशन, र फाइल व्यवस्थापन प्रणाली जस्ता सुविधाहरू समावेश गरी नवीनतम संस्करण, १.४१ सँग हल्का रिमोट एडमिनिस्ट्रेशन उपकरण प्रदान गर्दछ। यो GitHub मा खुला रूपमा पहुँचयोग्य छ।
यसको क्षमताहरू विस्तार गर्न, SeroXen RAT ले r77 (Ring 3) rootkit प्रयोग गर्दछ। यो ओपन-सोर्स रूटकिटले फाइल-कम निरन्तरता, बाल प्रक्रियाहरूको हुकिंग, मालवेयर इम्बेडिङ, इन-मेमोरी प्रक्रिया इन्जेक्सन, र एन्टी-मालवेयर पत्ता लगाउने चोरी जस्ता कार्यक्षमताहरू प्रदान गर्दछ। SeroXen ले NirCmd उपयोगितालाई पनि एकीकृत गर्दछ। NirCmd एक फ्रिवेयर उपकरण हो जसले विन्डोज प्रणाली र परिधीयहरूका लागि कमाण्ड-लाइन कार्यान्वयन मार्फत सरल व्यवस्थापन कार्यहरूलाई सुविधा दिन्छ।
SeroXen RAT का आक्रमणहरूको विश्लेषण
विभिन्न आक्रमण भेक्टरहरू SeroXen वितरण गर्न नियोजित गरिएको छ, फिसिङ इमेलहरू र साइबर अपराधीहरूद्वारा प्रयोग गरिएका डिस्कर्ड च्यानलहरू सहित। यी अभिनेताहरूले जिप अभिलेखहरू वितरण गर्छन् जसमा भारी अस्पष्ट ब्याच फाइलहरू छन्।
निकासीमा, ब्याच फाइलले दुई बाइनरीहरू निकाल्नको लागि आधार 64 इन्कोड गरिएको पाठ डिकोड गर्दछ। यी बाइनरीहरू त्यसपछि .NET प्रतिबिम्ब प्रयोग गरेर मेमोरीमा लोड हुन्छन्। msconfig.exe को परिमार्जित संस्करण, मालवेयर कार्यान्वयनको लागि आवश्यक, डिस्कसँग अन्तरक्रिया गर्ने एक मात्र फाइल हो। यो अस्थायी रूपमा 'C:\Windows \System32V डाइरेक्टरीमा भण्डार गरिएको छ (अतिरिक्त ठाउँलाई ध्यान दिनुहोस्), जुन छोटो अवधिको हुन्छ र कार्यक्रम स्थापना प्रक्रिया पछि मेटिन्छ।
ब्याच फाइलले 'InstallStager.exe' पेलोड, r77 rootkit को एक संस्करण तैनाथ गर्न वाहनको रूपमा कार्य गर्दछ। चुपचाप र दृढता कायम राख्न, रूटकिट अस्पष्ट र विन्डोज रजिस्ट्रीमा भण्डारण गरिएको छ। पछि, यसलाई "winlogon.exe" प्रक्रियामा इन्जेक्सन गर्दै टास्क शेड्युलर मार्फत PowerShell प्रयोग गरेर सक्रिय गरिन्छ।
यो इंजेक्शन मार्फत, r77 रूटकिटले प्रणालीको मेमोरीमा SeroXen RAT लाई परिचय गराउँछ, यसको गुप्त उपस्थिति सुनिश्चित गर्दै र सम्झौता गरिएको उपकरणमा टाढाको पहुँच सक्षम पार्दै। एक पटक रिमोट पहुँच मालवेयर सुरु भएपछि, यसले आक्रमणकारीहरूबाट आदेशहरू पर्खँदै, आदेश र नियन्त्रण सर्भरसँग सञ्चार स्थापना गर्दछ।
विश्लेषणले बताउँछ कि SeroXen ले Quasar RAT को रूपमा समान TLS प्रमाणपत्र प्रयोग गर्दछ, र यसले मूल परियोजनाबाट धेरैजसो क्षमताहरू प्राप्त गर्दछ। यी क्षमताहरूले TCP नेटवर्क स्ट्रिमहरू, कुशल नेटवर्क सीरियलाइजेशन, र QuickLZ कम्प्रेसनको लागि समर्थन समावेश गर्दछ।
साइबरसुरक्षा अनुसन्धानकर्ताहरूले चेताउनी दिएका छन् कि SeroXen को बढ्दो लोकप्रियताले गेमरहरूलाई लक्षित गर्दै ठूला संस्थाहरूलाई लक्षित गर्न ध्यान केन्द्रित गर्न सक्ने सम्भावित परिवर्तन हुन सक्छ। यस खतरासँग लड्न सञ्जाल रक्षकहरूलाई सहयोग गर्न, संगठनहरूले खतरा विरुद्ध सावधानी अपनाउनुपर्छ। नेटवर्कहरू भित्र SeroXen को उपस्थिति पहिचान गर्न र कम गर्नको लागि बहुमूल्य स्रोतहरू छन्, डिफेन्डरहरूलाई उनीहरूको साइबर सुरक्षा उपायहरू बढाउन र सम्भावित आक्रमणहरू विरुद्ध सुरक्षा गर्न सक्षम पार्दै।
